CAPTCHA

CAPTCHA ['kæptʃə] ist ein Akronym für Completely Automated Public Turing test to tell Computers and Humans Apart. Das bedeutet: „Vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen“.

CAPTCHAs werden verwendet, um zu entscheiden, ob das Gegenüber ein Mensch oder eine Maschine ist. In der Regel geschieht dies, um zu prüfen, ob Eingaben in Internetformulare über Menschen oder Maschinen (Roboter, kurz Bot) erfolgt sind weil Roboter hier oft missbräuchlich eingesetzt werden. CAPTCHAs dienen also der Sicherheit.

Der Begriff CAPTCHA wurde zum ersten Mal im Jahr 2000 von Luis von Ahn, Manuel Blum und Nicholas J. Hopper an der Carnegie Mellon University und von John Langford von IBM gebraucht und ist ein Homophon des englischen Wortes capture (einfangen, erfassen). Gelegentlich werden Verfahren zur Unterscheidung von Robotern und Menschen auch als HIP für Human Interactive Proof bezeichnet.

CAPTCHA, das auf der Verzerrung von Buchstaben (hier: „smwm“) in Bildern basiert
CAPTCHA, das eine Rechenaufgabe ausgibt, die der User lösen muss – Hier wäre die Lösung 25
CAPTCHA, bei dem das Erlesen durch den Hintergrund erschwert wird. (Hier: MV52RQ)

Inhaltsverzeichnis

Erklärung

CAPTCHAs sind meist Challenge-Response-Tests, bei denen der Befragte eine Aufgabe (Challenge) lösen muss und das Ergebnis (Response) zurückschickt. In CAPTCHAs sind die gestellten Aufgaben so, dass sie für Menschen einfach zu lösen sind, für Computer hingegen sehr schwierig. Ein Beispiel dafür ist Text, der durch Bildfilter verzerrt wurde. Computer benötigen Mustererkennungs-Algorithmen, um derartige Bilder zu verarbeiten, die aufwendig zu programmieren sind und hohe Anforderung an die Hardware stellen. Neben grafischen CAPTCHAs werden mittlerweile auch Audio-CAPTCHAs oder Video-CAPTCHAs eingesetzt. Bei Asirra von Microsoft muss der Benutzer Tiere auf Fotos erkennen.

CAPTCHAs haben entsprechend ihrer Bezeichnung folgende Eigenschaften:

  • Frage und Antwort werden bei jedem Zugangsversuch vollautomatisch per Zufallsgenerator und unter Einhaltung bestimmter Regeln generiert. Es wird also kein von Menschen vorgetragener Katalog mit Fragen und Antworten verwendet, da dessen begrenzter Wertebereich deutlich schneller zu Wiederholungen führen und damit einen Angriff erleichtern würde.
  • Der verwendete Algorithmus ist veröffentlicht, damit Fachleute die Sicherheit des Systems beurteilen können. CAPTCHAs folgen damit Kerckhoffs’ Prinzip und vermeiden Security through obscurity.
CAPTCHA mit zusätzlichen Zeichen im Hintergrund

Nachteile

Zurzeit werden meist bildbasierte CAPTCHAs verwendet; diese sind jedoch nicht barrierefrei, da sie von sehbehinderten Menschen nicht gelöst werden können. Verschiedene Anbieter verwenden daher zusätzlich akustische CAPTCHAs, um die Zugänglichkeit zu erhöhen. Taubblinde und Benutzer rein textbasierter Browser bleiben jedoch auch dadurch ausgeschlossen. Für Letztere würde sich jedoch eine weitere Methode eignen, welche textlich ein Wort abfragt, wie beispielsweise: „Wie nennt man ein motorbetriebenes, vierrädriges Fahrzeug“. Die Antwort wäre in diesem Fall „Auto“. Solche Frage-Antwortlisten müssten aber sehr schnell erweitert oder ständig umgeschrieben werden, da man einem Spambot solche Listen beibringen könnte. Außerdem stellen sie dann eine Barriere für Nicht-Muttersprachige oder intellektuell oder bildungsmäßig Benachteiligte dar, für die selbst einfache Fragen zum Problem werden können.

Grundsätzlich ist jedes schwierige Problem der Künstlichen Intelligenz geeignet, für ein CAPTCHA verwendet zu werden. Die technische Eskalation bewirkt, dass die CAPTCHAs auch für den Menschen immer schwieriger zu lösen werden und daher langfristig keine Lösung darstellen.[1] Tatsächlich erweist sich der Test auf Barrierefreiheit als Test an die Turing-Tests, ob sie Mensch und Maschine wirklich unterscheiden können oder nur auf unbedachten Vorurteilen über die Fähigkeiten des Menschen beruhen.

CAPTCHAs sind unter Usability-Gesichtspunkten auch deshalb problematisch, da sie Hürden darstellen, die teilweise zu einem erheblichen Mehraufwand für den Nutzer bei der Zielerreichung führen. Zudem erschließt sich der Zweck eines CAPTCHAs vielen Betroffenen nicht intuitiv, was zu Irritationen über eine vermeintlich sinnlose Funktion führt.[2] Aus diesen Problemquellen resultieren häufig Nutzungsabbrüche, Fehlermeldungen und Unzufriedenheit beim Nutzer. Einer aktuellen Studie zufolge verbringen Internet-Nutzer weltweit insgesamt 150.000 Stunden pro Tag mit der Lösung von CAPTCHAs.[3]

Anwendungsgebiete

Mögliche Anwendungsgebiete sind Dienste, bei denen Bots den Dienst manipulieren oder missbrauchen können, wie etwa Online-Umfragen, Gästebücher, Registrieren von E-Mail-Adressen (von denen Spam gesendet werden kann) oder die Vermeidung von Spam durch Verschleierung der E-Mail-Adresse. Außerdem werden CAPTCHAs auch in Verbindung mit einer indizierten TAN-Liste zur Abwehr von Man-in-the-middle-Angriffen bei Online-Banking-Anwendungen verwendet.

Umgehung von CAPTCHAs

Lösen durch Maschinen

Mit zunehmender Verbreitung von CAPTCHA-geschützten Webseiten begann ein Wettrüsten zwischen den Herstellern von CAPTCHAs und den Entwicklern maschineller Lösungen, so dass bald Programme entwickelt wurden, um den Schutz von CAPTCHAs zu umgehen. Viele mittlerweile ältere Implementierungen sind heute mit relativ geringem Aufwand auch für Maschinen lösbar.[4] Für verbreitete Implementierungen, wie die in der phpBB (Software zur Bereitstellung eines Internetforums) verwendete, existieren bereits Spambots, die die CAPTCHAs lesen und damit diesen Schutz umgehen können.[5] Ein weiteres Beispiel ist das Umgehen von CAPTCHAs durch Spammer beim automatischen Anlegen von Google-Mail-Konten mit einer Erkennungsrate von 20 bis 30 Prozent.[6] In der originalen Version der Captchas von SchülerVZ gelang es auch, diese zu umgehen und somit ein Massenkopieren von Profildaten in die Wege zu leiten. Ein automatisierter Bot, welcher lediglich aus einer einfachen Kombination eines Perl-Skripts und der Ajax-Programmierung bestand, konnte alle Captchas lösen.

Lösen durch Menschen

Unwissentlich

Eine technisch einfache Möglichkeit, den CAPTCHA-Schutz zu umgehen, besteht darin, dass der Bot die eigentliche Erkennungsaufgabe an Menschen delegiert, alle anderen nötigen Schritte jedoch selbst durchführt. Ein Spammer richtete beispielsweise eine pornografische Website ein, um von den Besuchern dieser Website ein CAPTCHA lösen zu lassen, das aber eigentlich vom Anbieter eines E-Mail-Zugangs stammt. Unwissentlich lösten die Besucher der pornografischen Website für den Spammer die CAPTCHAs.[7] [8] Auch ein Trojaner, der ein Striptease-Programm vorgaukelt und CAPTCHAs durch den Anwender lösen lässt, ist bekannt geworden.[9]

Wissentlich

Eine weitere Technik, um CAPTCHAs zu umgehen, nennt sich CES (CAPTCHA Exchange Server).[10] Angemeldete User können CAPTCHAs anderer User erkennen und sammeln auf diese Weise Punkte. Falls ein angemeldeter User in seiner Abwesenheit CAPTCHAs hat, die erkannt werden müssen, wird dies wiederum von anderen Usern gemacht (welche dadurch selbst Punkte sammeln). Ein User kann so viele CAPTCHAs erkennen lassen, wie Punkte auf seinem Konto vorhanden sind. Die Möglichkeit, CAPTCHAs durch diesen Service lösen zu lassen, hängt aber von der Verfügbarkeit von Plugins ab, die zum Auslesen des CAPTCHAs notwendig sind. Plugins existieren zum Beispiel für Rapidshare oder ähnliche Filehoster und Mailingdienste. [11] Des Weiteren ist die Effektivität abhängig von der Anzahl der Nutzer im System: sind zu einem Zeitpunkt keine Punktesammler anwesend, kann kein CAPTCHA gelöst werden, in der Regel sind aufgrund der internationalen Userbasis aber Warteschlangen vorhanden, so dass jedes neue CAPTCHA schnell gelöst wird.

In Indien gibt es einige Anbieter, die Captchas durch Angestellte lösen lassen.[12][13]

Weblinks

 Commons: CAPTCHA – Sammlung von Bildern, Videos und Audiodateien

Einzelnachweise

  1. CAPTCHAs im Spannungsfeld zwischen Accessibility und Sicherheit
  2. CAPTCHAs: Gratwanderung zwischen Sicherheit und Usability
  3. http://recaptcha.net/learnmore.html
  4. PWNtcha – ein CAPTCHA-Decoder. Zeigt die Ineffizienz vieler Implementationen (englisch)
  5. heise Security: Bot registriert sich in mehreren tausend phpBB-Foren, 20. März 2006
  6. heise online: Spammer hebeln Googles Captchas aus, 11. März 2008
  7. Cory Doctorow: Solving and creating captchas with free porn., 27. Januar 2004. [31. März 2006]
  8. Porno gegen Captchas, heise-Newsticker vom 23. Juli 2008
  9. Trojaner, der ein Striptease-Programm vorgaukelt und CAPTCHAs durch den Anwender lösen lässt, Meldung auf c't newsticker, heise.de
  10. Tutorial zum CES
  11. Liste der für den CES verfügbaren Plugins
  12. http://blogs.zdnet.com/security/?p=1835
  13. http://www.sophiadesigns.net/presse/blog/2010/04/captchas-sind-veraltet-wenn-spammer-menschen-in-der-dritten-welt-bezahlen-diese-zu-losen

Wikimedia Foundation.

Schlagen Sie auch in anderen Wörterbüchern nach:

  • CAPTCHA — Ce captcha de « smwm » rend difficile son interprétation par un ordinateur en modifiant la forme des lettres et en ajoutant un dégradé de couleur en fond. Un captcha est une forme de test de Turing permettant de différencier de manière… …   Wikipédia en Français

  • Captcha — [ kæptʃə] ist ein Akronym für Completely Automated Public Turing test to tell Computers and Humans Apart. Wörtlich übersetzt bedeutet das „Vollautomatischer öffentlicher Turing Test, um Computer und Menschen zu unterscheiden“. CAPTCHAs werden… …   Deutsch Wikipedia

  • Captcha — es el acrónimo de Completely Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing pública y automática para diferenciar a máquinas y humanos). Se trata de una prueba desafío respuesta utilizada en computación para… …   Enciclopedia Universal

  • CAPTCHA — Early CAPTCHAs such as these, generated by the EZ Gimpy program, were used on Yahoo!. However, technology was developed to read this type of CAPTCHA[1] …   Wikipedia

  • Captcha — Ce captcha de « smwm » rend difficile son interprétation par un ordinateur en modifiant la forme des lettres et en ajoutant un dégradé de couleur en fond …   Wikipédia en Français

  • Captcha — Este artículo o sección necesita referencias que aparezcan en una publicación acreditada, como revistas especializadas, monografías, prensa diaria o páginas de Internet fidedignas. Puedes añadirlas así o avisar …   Wikipedia Español

  • CAPTCHA — Искаженная строка smwm CAPTCHA ([ˈkæptʃə]; от англ. Completely Automated Public Turing test to tell Computers and Humans Apart  полностью автоматизированный публичный тест Тьюринга для различия компьютеров и людей)  товарный знак… …   Википедия

  • captcha — (KAP.chuh) n. A computer generated test that humans can pass but computer programs cannot. Also: Captcha, CAPTCHA. Example Citation: With his Ph.D. student Luis von Ahn and others Dr. [Manuel] Blum devised a collection of cognitive puzzles based… …   New words

  • captcha — /ˈkæptʃə/ (say kapchuh) noun Computers a challenge response test that enables the identification of a human response, as opposed to a computer generated response, by setting a task, such as reading distorted letters, that only a human being can… …   Australian English dictionary

  • CAPTCHA — [ kapshə] (also captcha) n. a program or system intended to distinguish human from machine input, typically as a way of thwarting spam and automated extraction of data from Web sites …   Useful english dictionary

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”

We are using cookies for the best presentation of our site. Continuing to use this site, you agree with this.