imported>Schotterebene: Belege zusammengefasst

2025-12-23T07:37:22Z

Belege zusammengefasst

Neue Seite

Ein '''Captcha''' [{{IPA|'kæptʃə}}] (der oder das, auch ''CAPTCHA''; [[Englische Sprache|engl.]] ''{{lang|en|completely automated public Turing test to tell computers and humans apart}}'' „vollautomatischer öffentlicher [[Turing-Test]] zur Unterscheidung von [[Computer]]n und [[Mensch]]en“) wird verwendet, um festzustellen, ob ein Mensch oder eine Maschine (Roboter[programm], kurz [[Bot]]) einbezogen ist. In der Regel dient dies zur Prüfung, von wem Eingaben in Internetformulare erfolgt sind, weil Roboter hier oft missbräuchlich eingesetzt werden. Captchas dienen also dem Schutz der Betreiber-Ressourcen, nicht dem Schutz des Benutzers oder dessen Daten. Im Unterschied zum klassischen Turing-Test, bei dem Menschen die Frage klären möchten, ob sie mit einem Mensch oder einer Maschine interagieren, dienen Captchas dazu, dass eine Maschine diese Frage klären soll.

Der Begriff Captcha wurde zum ersten Mal im Jahr 2000 von [[Luis von Ahn]], [[Manuel Blum]] und Nicholas J. Hopper an der [[Carnegie Mellon University]] und von John Langford von [[IBM]] verwendet und ist ein [[Homophon]] des englischen Wortes ''capture'' (einfangen, erfassen).<ref>{{Internetquelle |url=https://iacr.org/archive/eurocrypt2003/26560294/26560294.pdf |titel=CAPTCHA: Using Hard AI Problems For Security |abruf=2022-11-01}}</ref> Gelegentlich werden Verfahren zur Unterscheidung von Robotern und Menschen auch als ''HIP'' (engl. ''{{lang|en|Human Interaction Proof}}'') bezeichnet.

[[Datei:Captcha-smwm.svg|miniatur|Captcha, das auf der Verzerrung von Buchstaben (hier: „smwm“) in Bildern basiert]]
[[Datei:Rechen-captcha.jpg|miniatur|Bei diesem Captcha ist zunächst die Zeichenfolge vor dem Hintergrund zu erkennen, dann die Aufgabe zu verstehen und diese mit der Eingabe „25“ zu lösen.]]
[[Datei:Hintergrund-captcha5.gif|miniatur|Captcha, bei dem das Erlesen durch den Hintergrund erschwert wird (hier: „MV52RQ“)]]

== Erklärung ==
Captchas sind meist [[Challenge-Response-Authentifizierung|{{lang|en|Challenge-Response}}-Tests]], bei denen der Befragte eine Aufgabe ''({{lang|en|Challenge}})'' lösen muss und das Ergebnis ''({{lang|en|Response}})'' zurückschickt. In Captchas sind die gestellten Aufgaben idealerweise so, dass sie für Menschen einfach zu lösen sind, für Computer hingegen sehr schwierig. Beispiel dafür ist ein Text, der durch Bildfilter verzerrt wurde. Computer benötigen [[Mustererkennung]]s-Algorithmen, um derartige Bilder zu verarbeiten, die aufwendig zu programmieren sind und hohe Anforderung an die Hardware stellen. Neben grafischen Captchas werden mittlerweile auch Audio-Captchas oder Video-Captchas eingesetzt. Bei [[Asirra]] von Microsoft muss der Benutzer Tiere auf Fotos erkennen.

Captchas haben entsprechend ihrer Bezeichnung folgende Eigenschaften:
* Frage und Antwort werden bei jedem Zugangsversuch vollautomatisch per Zufallsgenerator und unter Einhaltung bestimmter Regeln generiert. Es wird also kein von Menschen vorgetragener Katalog mit Fragen und Antworten verwendet, da dessen begrenzter Wertebereich deutlich schneller zu Wiederholungen führen und damit einen Angriff erleichtern würde.
* Der verwendete [[Algorithmus]] ist veröffentlicht, damit Fachleute die Sicherheit des Systems beurteilen können. Captchas folgen damit [[Kerckhoffs’ Prinzip]] und verzichten auf ''{{lang|en|[[Security through obscurity]]}}''.

[[Datei:Captcha2.jpg|mini|Captcha mit zusätzlichen Zeichen im Hintergrund (hier: „E16C“)]]

== Nachteile ==
Es werden meist bildbasierte Rätsel verwendet; diese sind jedoch nicht [[Barrierefreies Internet|barrierefrei]], da sie schwer von sehbehinderten Menschen erkannt werden. Verschiedene Anbieter verwenden daher zusätzlich akustische Captchas, um die Zugänglichkeit zu erhöhen.<ref>{{Internetquelle |autor=Stiftung Warentest |url=https://www.test.de/Barrierefreies-E-Learning-Digitale-Huerden-ueberwinden-4690598-0/ |titel=Barrierefreies E-Learning: Digitale Hürden überwinden |sprache=de |abruf=2022-11-01}}</ref> [[Taubblindheit|Taubblinde]] und Benutzer rein [[Webbrowser#Textbasierte Browser|textbasierter Browser]] bleiben jedoch auch dadurch ausgeschlossen. Für Letztere würde sich jedoch eine weitere Methode eignen, welche textlich ein Wort abfragt, wie „Wie nennt man ein motorbetriebenes, vierrädriges Fahrzeug“. Die Antwort wäre in diesem Fall „Auto“. Solche Frage-Antwort-Listen müssten aber sehr schnell erweitert oder ständig umgeschrieben werden, da man einem Spambot solche Listen beibringen könnte. Außerdem stellen sie dann eine Barriere für Nicht-[[Muttersprache|Muttersprachler]] oder intellektuell Benachteiligte dar.

Das Thema Barrierefreiheit im Zusammenhang mit Captchas wird auch in den [[Web Content Accessibility Guidelines]] (WCAG) der [[Web Accessibility Initiative]] (WAI) des World Wide Web Consortiums (W3C) thematisiert, wo unter anderem Minimalanforderungen für ein barrierearmes Captcha festgehalten sind.

Grundsätzlich ist jedes schwierige Problem der [[Künstliche Intelligenz|Künstlichen Intelligenz]] geeignet, für ein Captcha verwendet zu werden. Die technische Eskalation bewirkt, dass die Captchas auch für den Menschen immer schwieriger zu lösen sein werden. Bereits im Jahr 2010 zeigten Forscher der [[Stanford University]] in einer Studie auf, dass Captchas häufig selbst für menschliche Internetnutzer eine große Herausforderung sind<ref>{{cite web|url=http://web.stanford.edu/~jurafsky/burszstein_2010_captcha.pdf |title=How Good are Humans at Solving CAPTCHAs? A Large Scale Evaluation |publisher=web.stanford.edu| accessdate=2018-11-30|language=englisch| offline= }}</ref> und daher langfristig keine Lösung darstellen.<ref name=":0">{{Internetquelle |autor=Katharine Schwab |url=https://www.fastcompany.com/90369697/googles-new-recaptcha-has-a-dark-side/ |titel=Google's new reCAPTCHA has a dark side |datum=2019-06-27 |sprache=en |abruf=2025-12-23}}</ref>

Captchas sind unter [[Benutzerfreundlichkeit]]s-Gesichtspunkten auch deshalb problematisch, da sie Hürden darstellen, die teilweise zu einem erheblichen Mehraufwand für den Nutzer bei der Zielerreichung führen. Zudem erschließt sich der Zweck eines Captchas vielen Betroffenen nicht intuitiv, was zu Irritationen über eine vermeintlich sinnlose Funktion führt.<ref name=":0" />

Google reCAPTCHA V3 nutzt dasselbe [[HTTP-Cookie|Cookie]], das auch von [[Google Chrome|Chrome]] verwendet wird, um damit einen Teil seiner Risikoanalyse durchzuführen. Das führt dazu, dass Zugriffe ohne dieses Cookie mit einer höheren Wahrscheinlichkeit als gefährlich eingestuft werden. Auch ein [[Virtual Private Network|VPN]] oder die Nutzung des [[Tor (Netzwerk)|Tor]]-Browsers erhöhen den Risikowert.<ref>{{Internetquelle |autor=Katharine Schwab |url=https://www.fastcompany.com/90369697/googles-new-recaptcha-has-a-dark-side |titel=Google’s new reCAPTCHA has a dark side |datum=2019-06-27 |abruf=2021-05-01 |sprache=en-US}}</ref> Überdies ist nicht sicher, wozu die Daten verwendet werden. Google hat behauptet, dass die Informationen nur zur Risikoanalyse verwendet werden.<ref>{{Internetquelle |autor=Katharine Schwab |url=https://www.fastcompany.com/90369697/googles-new-recaptcha-has-a-dark-side |titel=Google’s new reCAPTCHA has a dark side |datum=2019-06-27 |sprache=en-US |abruf=2021-07-25}}</ref>

Es existieren inzwischen moderne Alternativen zu traditionellen Captchas, die auf Technologien wie Proof-of-Work basieren. Diese Systeme sind für Nutzer in der Regel unsichtbar, ohne dabei Kompromisse beim Schutz vor Bots einzugehen. Ein Beispiel dafür ist das in Europa entwickelte System [[Friendly Captcha]].<ref>{{Internetquelle |url=https://friendlycaptcha.com/de/solution/difference/ |titel=Die nutzerfreundliche CAPTCHA-Alternative |titelerg=Die neue Lösung zur Vermeidung von Spam und Missbrauch |werk=Friendly Captcha |datum=2021-02-19 |sprache=de |abruf=2025-10-23}}</ref>

== Anwendungsgebiete ==
Mögliche Anwendungsgebiete sind Dienste, bei denen Bots den Dienst manipulieren oder missbrauchen können, wie etwa Online-Umfragen, Gästebücher, Registrieren von E-Mail-Adressen (von denen [[Spam]] gesendet werden kann) oder die Vermeidung von Spam durch Verschleierung der E-Mail-Adresse. Außerdem werden Captchas auch in Verbindung mit einer indizierten TAN-Liste zur Abwehr von [[Man-in-the-middle-Angriff]]en bei Online-Banking-Anwendungen verwendet.

[[Datei:Google Recaptcha.png|mini|Beispiel für reCAPTCHA]]
Einen sekundären Nutzen aus der Lösung von Captchas erzielt [[Google Inc.]] mit dem Dienst [[reCAPTCHA]] für sein Projekt [[Google Bücher]].<ref>{{Internetquelle |url=https://www.google.com/recaptcha/about/ |titel=reCAPTCHA |sprache=en |abruf=2022-11-01}}</ref> Nicht erkannte Textstellen beim Google-Bücher-Scan-Projekt werden als einzelne Wörter den Internet-Nutzern als Captcha angezeigt. Neben dem gescannten Wort wird noch ein echter Captcha angezeigt. Beide Wörter werden vom Nutzer aufgelöst. Das echte Captcha-Wort wird für die eigentliche Sicherheitsabfrage benutzt. Die Erkennung des gescannten Wortes wird gespeichert. Bei mehrfach gleicher Buchstabierung des gescannten Wortes bei unterschiedlichen Captcha-Vorgängen wird das Wort als richtig erkannt abgespeichert und wird so in das Google-Buch-Scan-Projekt übernommen.

Seit 2012 nutzt Google Fotos von [[Google Street View|Street View]] und lässt die Nutzer so die nicht erkannten Türnummern und andere Zeichen erkennen.

2014 beschloss Google, Captcha für das Trainieren von [[Künstliche Intelligenz|KI]] zu nutzen.<ref>{{Internetquelle |autor=James O'Malley |datum=2018-01-12 |url=https://www.techradar.com/news/captcha-if-you-can-how-youve-been-training-ai-for-years-without-realising-it |titel=Captcha if you can: how you’ve been training AI for years without realising it |abruf=2021-05-01 |sprache=en}}</ref>

== Umgehung von Captchas ==
=== Lösen durch Software ===
Mit zunehmender Verbreitung von Captcha-geschützten Webseiten begann ein Wettlauf zwischen den Herstellern von Captchas und den Entwicklern maschineller Lösungen, so dass bald Programme entwickelt wurden, um den Schutz von Captchas zu umgehen. Viele mittlerweile ältere [[Implementierung]]en sind heute mit relativ geringem Aufwand auch für Maschinen lösbar.<ref>{{Internetquelle |url=http://caca.zoy.org/wiki/PWNtcha |titel=PWNtcha – Caca Labs |abruf=2022-11-01}}</ref> Für verbreitete Implementierungen, wie die in der [[phpBB]] (Software zur Bereitstellung eines Internetforums) verwendete, existieren bereits [[E-Mail-Harvester|Spambots]], die die Captchas lesen und damit diesen Schutz umgehen können.<ref>{{Internetquelle |autor=heise online |url=https://www.heise.de/newsticker/meldung/Bot-registriert-sich-in-mehreren-tausend-phpBB-Foren-111280.html |titel=Bot registriert sich in mehreren tausend phpBB-Foren |sprache=de |abruf=2022-11-01}}</ref> Ein weiteres Beispiel ist das Umgehen von Captchas durch Spammer beim automatischen Anlegen von [[Gmail|Google-Mail]]-Konten mit einer Erkennungsquote von 20 bis 30 Prozent.<ref>{{Internetquelle |autor=heise online |url=https://www.heise.de/security/meldung/Spammer-hebeln-Googles-Captchas-aus-189308.html |titel=Spammer hebeln Googles Captchas aus |sprache=de |abruf=2022-11-01}}</ref> In der originalen Version der Captchas von [[SchülerVZ]] gelang es auch, diese zu umgehen und somit ein Massenkopieren von Profildaten in die Wege zu leiten. Ein automatisierter Bot, welcher lediglich aus einer einfachen Kombination eines [[Perl (Programmiersprache)|Perl]]-[[Skriptsprache|Skripts]] und der [[Ajax (Programmierung)|Ajax-Programmierung]] bestand, konnte durchschnittlich 70 % der Captchas lösen.<ref>{{Internetquelle |autor=markus |url=https://netzpolitik.org/2009/netzpolitik-interview-sicherheitsluecken-bei-der-vz-gruppe/ |titel=Netzpolitik-Interview: Sicherheitslücken bei der VZ-Gruppe |datum=2009-10-20 |sprache=de-DE |abruf=2022-11-01}}</ref> Ein Versuch von 2014 zeigte, dass Algorithmen [[Google LLC|Google]]s weit verbreitete [[reCAPTCHA]] zu weit über 90 % richtig lösten und somit eine höhere Erkennungsquote als Menschen aufwiesen.<ref>{{Literatur |Titel=Google knackt den Captcha-Code |Sammelwerk=Der Spiegel |Datum=2014-04-17 |ISSN=2195-1349 |Online=https://www.spiegel.de/netzwelt/web/google-knackt-den-captcha-code-a-964955.html |Abruf=2022-11-01}}</ref> Mit Stand von 2024 wurde nachgewiesen, dass alle Captchas von Googles reCAPTCHA v2 durch KI erkennbar sind.<ref>{{Internetquelle |autor=Andreas Plesner, Tobias Vontobel, Roger Wattenhofer |url=https://arxiv.org/abs/2409.08831 |titel=Breaking reCAPTCHAv2 |werk=[[ArXiv]] |datum=2024-09-13 |sprache=en |abruf=2024-12-05}}</ref>

=== Lösen durch Menschen ===
==== Unwissentlich ====
Eine technisch einfache Möglichkeit, einen Captcha-Mechanismus zu umgehen, ist, eine Erkennungsaufgabe an unwissende Nutzer zu delegieren. Ein [[Spam]]mer richtete beispielsweise einen [[Honeypot]] ein, um von den Besuchern Captchas lösen zu lassen, die vom Ziel des Spammers übernommen wurden.<ref>{{Internetquelle |autor=Cory Doctorow |url=https://boingboing.net/2004/01/27/solving-and-creating.html |titel=Solving and creating captchas with free porn |datum=2004-01-27 |sprache=en-US |abruf=2022-11-01}}</ref><ref>{{Internetquelle |autor=heise online |url=https://www.heise.de/security/meldung/Porno-gegen-Captchas-189637.html |titel=Porno gegen Captchas |sprache=de |abruf=2022-11-01}}</ref> 2007 enttarnten [[Trend Micro]] und [[Panda Security]] einen [[Trojanisches Pferd (Computerprogramm)|Trojaner]], der das Lösen von Captchas als interaktives [[Striptease]]-Spiel tarnte.<ref>{{Internetquelle |autor=heise online |url=https://www.heise.de/security/meldung/Trojaner-laesst-Anwender-Captchas-lesen-190126.html |titel=Trojaner lässt Anwender Captchas lesen |sprache=de |abruf=2022-11-01}}</ref>

==== Wissentlich ====
Mittels [[Kollaboration|kollaborativer]] [[Kooperation|Zusammenarbeit]] auf sogenannten ''Captcha-Exchange-Servern'' arbeiteten Ende der ersten Dekade des 21. Jahrhunderts Gruppen daran, sich gegenseitig Lösungen auf Vorrat anzulegen. Auf Grund technischer Entwicklungen und der Etablierung der [[Paid Services]] konnte sich die Idee kaum durchsetzen. In manchen Ländern gibt es Anbieter, die Captchas in [[Sweatshop]]s lösen lassen.<ref>{{Literatur |Autor=Vikas Bajaj |Titel=Spammers Pay Others to Answer Security Tests |Sammelwerk=The New York Times |Datum=2010-04-25 |ISSN=0362-4331 |Online=https://www.nytimes.com/2010/04/26/technology/26captcha.html |Abruf=2022-11-01}}</ref><ref>{{Internetquelle |url=http://www.nytimes.com/2010/04/26/technology/26captcha.html |titel=Spammers Paying Others to Solve Captchas - NYTimes.com |datum=2010-04-28 |archiv-url=https://web.archive.org/web/20100428191623/http://www.nytimes.com/2010/04/26/technology/26captcha.html |abruf=2024-03-16}}</ref>

== Weblinks ==
{{Commonscat|Captcha}}
* [http://www.captcha.net/ Das namensgebende CAPTCHA-Projekt der Carnegie Mellon Universität] (englisch)
* [http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.143.9623&rep=rep1&type=pdf Reverse Engineering CAPTCHAs] Abram Hindle, Michael W. Godfrey, Richard C. Holt, 24. August 2009 (englisch)

== Einzelnachweise ==
<references />

{{Normdaten|TYP=s|GND=4828986-3}}

[[Kategorie:Künstliche Intelligenz]]
[[Kategorie:IT-Sicherheit]]
[[Kategorie:World Wide Web]]
[[Kategorie:Abkürzung]]

Captcha - Versionsgeschichte

imported>Schotterebene: Belege zusammengefasst