Warum Captchas allein nicht ausreichen

Lesezeit: .

Captchas schützen Webapplikationen vor schädlichen Zugriffen durch Bots und Spammer. Das Plus an Sicherheit wird jedoch mit Nachteilen in Barrierefreiheit und Usability erkauft. Denn die kleinen Bild- und Audio-Rätsel stellen auch für manch menschlichen Nutzer eine Hürde dar.

Beim Surfen im Internet begegnen Nutzer schon seit einigen Jahren diversen Captcha-Verfahren. Die kleinen Bild- und Worträtsel sollen auf Webseiten sicherstellen, dass ausschließlich menschliche Nutzer auf die dahinter verborgenen Dienste zugreifen können. Damit schützen die kleinen Tools vor Missbrauch auf Internet-Plattformen. Der Begriff Captcha ist ein Akronym und stammt aus dem Englischen: “Completely Automated Public Turing test to tell Computers and Humans Apart”. So dient das Wort Captcha als Sammelbegriff für sämtliche Formen automatisierter Turing-Tests, die Computern zur Unterscheidung von Mensch und Maschine dienen.

Das Konzept von Captcha-Verfahren sieht Aufgaben vor, die von Menschen leicht lösbar sind, Computer-Systemen jedoch große Probleme bereiten. In der Praxis werden daher meist Bild- oder Worträtsel in Verbindung mit Weichzeichnern und ähnlichen optischen Manipulationen verwendet. Um diese Aufgaben maschinell zu lösen, sind ausgefeilte Algorithmen für die Bilderkennung und leistungsstarke Hardware erforderlich. Diese Hürden dienen der Abwehr automatisierter Anfragen und Spammer.

Eingesetzt werden Captchas überall dort im Netz, wo Dienste durch Bot-Zugriffe gefährdet sind. Mit der Technologie schützen Webmaster mitunter Online-Umfragen, E-Mail-Dienste oder auch sensible Services wie das Online-Banking vor Missbrauch.

Kritik an Captchas

Der Einsatz von Captchas zum Schutz von Webdiensten ist nicht unumstritten. So schränken beispielsweise die eingebundenen Bildrätsel die Barrierefreiheit der dahinterliegenden Webapplikation massiv ein. Speziell sehbehinderten Menschen bereiten solche Captcha-Aufgaben große Schwierigkeiten beim Login. Abhilfe versprechen akustische Captchas, die jedoch für ihren hohen Schwierigkeitsgrad in der Kritik stehen und Hörgeschädigten besonders große Probleme bereiten.

Im Hinblick auf die Nutzerfreundlichkeit gelten Captchas ebenfalls als problematisch, da sie einen weiteren Schritt zur Anmeldung auf Webshops und anderen Portalen darstellen. Der zusätzliche Aufwand für den potenziellen Kunden wirkt sich negativ auf die Konversionsrate aus. Verstärkt wird der negative Effekt von zunehmend anspruchsvolleren Captcha-Aufgaben. Diese sind jedoch notwendig, um die Fortschritte in der Künstlichen Intelligenz auszugleichen, die automatisierten Systemen ermöglichen, simple Captchas ohne viel Aufwand zu lösen. Ein Forscherteam der Stanford University stellte daher schon 2010 die Zukunftstauglichkeit gängiger Captcha-Methoden in Frage. Schon damals hatten auch viele menschliche Nutzer Probleme bei der Beantwortung der kleinen Rätsel.

Google reCAPTCHA: umstrittener Komfort-Service

Seit 2013 adressiert der Google-Dienst reCAPTCHA die Problematik um zu komplexe Anmeldevorgänge mit dem sogenannten No CAPTCHA. Dabei handelt es sich um eine Prüfmethode, die im Hintergrund Browsing-Daten wie beispielsweise IP-Adressen, Standort, Verweildauer und Mausbewegungen auswertet. Deuten die gesammelten Daten darauf hin, dass es sich um eine valide Nutzeranfrage handelt, genügt ein simpler Mausklick auf das Textfeld “Ich bin kein Roboter”, um das Captcha zu lösen. Fallen die Ergebnisse hingegen weniger eindeutig aus, kommen die bekannten visuellen oder akustischen Captchas zum Einsatz, um bösartige Bot-Zugriffe zu vereiteln. Die Weiterentwicklung reCAPTCHA v3 verzichtet sogar gänzlich auf zusätzliche Abfragen der Nutzer. Hier werden automatische Zugriffe im Hintergrund identifiziert und verwaltet. Für Webseitenbesucher mag reCAPTCHA ein willkommener Komfortgewinn sein, allerdings stören sich Datenschützer zunehmend an der Weitergabe sensibler Anwenderinformationen an das US-Unternehmen.

Wie Cyberkriminelle Captchas umgehen

In der Praxis kommen Captcha-Abfragen vor allem zum Einsatz, um Missbrauch und Angriffe mittels Credential Stuffing oder Credential Cracking zu vereiteln. Zumeist haben es Cyberkriminelle bei ihren Attacken auf lukrative Konten für Online-Banking oder Payment abgesehen. Die Captchas dienen hier als zusätzliche Sicherheitsebene – als alleiniger Schutzwall sind die Abfragen hingegen weniger geeignet.

Für Cyberkriminelle und deren Bot-Armeen stellen Captchas keine unüberwindbare Hürde dar, denn es gibt diverse Methoden, um die Schutzfunktion zu umgehen:

Moderne Algorithmen

sind dazu in der Lage, selbst komplexe Captchas zuverlässig zu lösen und

schneiden dabei sogar meist besser ab als menschliche Nutzer. Im technologischen Wettlauf sind daher beständig verbesserte Captcha-Verfahren erforderlich, um verlässlichen Schutz zu gewährleisten.

Trojaner

können tausendfach Anwender dazu verleiten, Captcha-Abfragen manuell auszufüllen – etwa

getarnt als Minigames auf Webseiten oder lokalen Systemen.

Captcha Solving Services

bieten die Auflösung von Captcha-Abfragen als Dienstleistung zu Spottpreisen

an und stellen sogar Schnittstellen für die weitere Verarbeitung der Daten zur Verfügung. Die Beantwortung der Captchas übernehmen bei diesen Diensten Armeen von Billiglöhnern, die in Entwicklungsländern die digitalen Rätsel manuell lösen. Per API-Integration lassen sich Captcha Solving Services sogar direkt an die automatisierten Angriffstools der Cyberkriminellen anbinden.

Captchas brauchen ergänzenden Schutz

Die dargelegten Beispiele zeigen, dass das Captcha-Verfahren allein für den Schutz von Konten und Logins nicht ausreicht. Zwar mögen zahlreiche böswillige Bot-Anfragen durch den gezielten Einsatz von Captchas zu verhindern sein, aber ambitionierte Angreifer können Webmaster damit nicht beeindrucken.

Deutlich effektiver lässt sich schadhafter Traffic beispielsweise über Bot Management abwehren. Die Security-Lösung identifiziert Bot-Anfragen eindeutig und ermöglicht Seitenbetreibern granular zu steuern, welche Arten von maschinellem Traffic wann auf der Webseite erlaubt sind. Die präzise Verwaltung des Traffics erhöht nicht nur den Schutz von Logins, sondern erlaubt auch einen performanteren und günstigeren Betrieb der Webseite – so lassen sich etwa erwünschte Bot-Anfragen auf Traffic-arme Tageszeiten verlegen, um zu Stoßzeiten mehr Leistung für menschliche Zugriffe bereitstellen zu können.

Zuverlässige Sicherheit mit Myra Deep Bot Management

Mit der Myra Web Application Security verwalten Sie dank Deep Bot Management präzise alle Requests auf Ihrer Webseite. Mittels Fingerprinting-Technologie identifiziert und verwaltet Myra eingehende Bot-Anfragen zuverlässig, während schädlicher Traffic automatisch blockiert oder umgeleitet wird. False Positives verhindert die Lösung dabei durch nachgelagerte Captcha-Aufforderungen. Auf diese Weise steht sowohl für herkömmliche User Requests als auch für maschinelle Bot-Anfragen stets die optimale Leistung zur Verfügung, ohne die Sicherheit von Online-Konten zu gefährden.

Zur Myra Web Application Security ➔

Sie werden angegriffen?