Home>
Captchas
03
Der Einsatz von Captchas zum Schutz von Webdiensten ist nicht unumstritten. So schränken etwa die eingebundenen Bildrätsel die Barrierefreiheit der dahinterliegenden Webapplikation massiv ein. Speziell sehbehinderten Menschen bereiten solche Captcha-Aufgaben große Schwierigkeiten beim Log-in. Abhilfe versprechen akustische Captchas, die jedoch für ihren hohen Schwierigkeitsgrad in der Kritik stehen und Hörgeschädigten besonders große Probleme bereiten.
Im Hinblick auf die Nutzerfreundlichkeit gelten Captchas ebenfalls als problematisch, da sie einen weiteren Schritt zur Anmeldung auf Webshops und anderen Portalen darstellen. Der zusätzliche Aufwand für potenzielle Kund:innen wirkt sich negativ auf die Konversionsrate aus. Verstärkt wird der negative Effekt von zunehmend anspruchsvolleren Captcha-Aufgaben. Diese sind jedoch notwendig, um die Fortschritte in der Künstlichen Intelligenz auszugleichen, die automatisierten Systemen ermöglichen, simple Captchas ohne viel Aufwand zu lösen. Ein Forscherteam der Stanford University stellte daher schon 2010 die Zukunftstauglichkeit gängiger Captcha-Methoden infrage. Schon damals hatten auch viele menschliche Nutzer:innen Probleme bei der Beantwortung der kleinen Rätsel.
04
In der Praxis kommen Captcha-Abfragen primär zum Einsatz, um Missbrauch und Angriffe mittels Credential Stuffing oder Credential Cracking zu vereiteln. Zumeist haben es Cyberkriminelle bei ihren Attacken auf lukrative Konten für Online-Banking oder Payment abgesehen. Die Captchas dienen hier als zusätzliche Sicherheitsebene – als alleiniger Schutzwall sind die Abfragen hingegen weniger geeignet. Für Cyberkriminelle und deren Bot-Armeen stellen Captchas keine unüberwindbare Hürde dar, denn es gibt diverse Methoden, um die Schutzfunktion zu umgehen:
Moderne Algorithmen
Moderne Algorithmen sind dazu in der Lage, selbst komplexe Captchas zuverlässig zu lösen und schneiden dabei sogar meist besser ab als menschliche Nutzer:innen. Im technologischen Wettlauf sind daher beständig verbesserte Captcha-Verfahren erforderlich, um verlässlichen Schutz zu gewährleisten.
Trojaner
Trojaner können tausendfach Anwender:innen dazu verleiten, Captcha-Abfragen manuell auszufüllen – etwa getarnt als Minigames auf Webseiten oder lokalen Systemen.
Captcha Solving Services
Captcha Solving Services bieten die Auflösung von Captcha-Abfragen als Dienstleistung zu Spottpreisen an und stellen sogar Schnittstellen für die weitere Verarbeitung der Daten zur Verfügung. Die Beantwortung der Captchas übernehmen bei diesen Diensten Armeen von Billiglöhnern, die in Entwicklungsländern die digitalen Rätsel manuell lösen. Per API-Integration lassen sich Captcha Solving Services sogar direkt an die automatisierten Angriffstools der Cyberkriminellen anbinden.
06
Bei Captchas handelt es sich um kleine Bild- und Worträtsel, die den automatisierten Zugriff von Bots auf Webseiten unterbinden sollen. Diese Turing-Tests sind darauf ausgelegt, dass lediglich menschliche Nutzer:innen sie erfolgreich meistern. Allerdings verfügen Cyberkriminelle über verschiedene Methoden, um ihre schädlichen Bots an Captcha-Sperren vorbeizuschleusen. Hierzu kommen etwa spezielle Algorithmen, Trojaner oder Captcha Solving Services zum Einsatz. Für eine holistische Kontrolle automatisierter Zugriffe sind Captchas daher ungeeignet. Hierfür sind umfangreichere Werkzeuge wie Bot Management Services erforderlich, die eine granulare Steuerung von Bots auf den eigenen Websites erlauben.
Mit der Myra Web Application Security verwalten Sie dank Deep Bot Management präzise alle Requests auf Ihrer Webseite. Mittels Fingerprinting-Technologie identifiziert und verwaltet Myra eingehende Bot-Anfragen zuverlässig, während schädlicher Traffic automatisch blockiert oder umgeleitet wird. False Positives verhindert die Lösung dabei durch nachgelagerte Captcha-Aufforderungen. Auf diese Weise steht sowohl für herkömmliche User Requests als auch für maschinelle Bot-Anfragen stets die optimale Leistung zur Verfügung, ohne die Sicherheit von Online-Konten zu gefährden.
Mehr über Myra Deep Bot Management erfahren