?>
Google reCAPTCHA
Author
Robin Laufenburg, Mi, 12. Okt. 2022
in IT-Sicherheit

Google reCAPTCHA

Was steckt hinter Google reCAPTCHA?

Google reCAPTCHA: Wahrscheinlich haben Sie schon einmal eine Checkbox betätigten müssen, mit der Sie bestätigten, dass Sie kein Roboter sind. Bei dieser modernen CAPTCHA-Variante handelt es sich um Googles reCAPTCHA.

Was hinter reCAPTCHA steckt und welche verschiedenen reCAPTCHA-Versionen es gibt, erfahren Sie hier.

Was ist Google reCAPTCHA?

Bei reCAPTCHA handelt es sich um einen Google-Dienst zum Einsatz von traditionellen und experimentellen CAPTCHAs. Die reCAPTCHA-Technologie ist von Forschern der Carnegie Mellon University entwickelt und im Jahr 2009 von Google LLC erworben worden. Sie haben die Sicherheitsabfrage reCAPTCHA ursprünglich konzipiert, um bei der Digitalisierung von Büchern und Zeitschriften zu helfen.

Dabei wurden den Benutzern maschinell nicht auswertbare Zeichenfolgen angezeigt. Diese sollten sie abtippen. Wenn mehrere Nutzer ein konkretes Wort übereinstimmend erkannten, hat das Programm es übernommen.

reCAPTCHA gilt als fortschrittlicher als die meisten anderen CAPTCHA-Tests. Bei Googles CAPTCHA-Lösung kommen nur noch selten verzerrte oder unscharfe, schwer zu entschlüsselnde Bilder zum Einsatz. Um seine Barrierefreiheit zu verbessern, bietet Google zu jedem visuellen reCAPTCHA eine akustische Alternative an.

reCAPTCHA v1

Traditionell waren auf einer reCAPTCHA zwei Begriffe abgebildet. Bei einem der Begriffe handelt es sich um einem dem System bereits bekannten Begriff, das andere stammt aus dem bereits erwähnten Digitalisierungsprojekt. Im Laufe der Zeit hat Google hat die Funktionalität der reCAPTCHA-Tests so erweitert, dass es nicht mehr auf den bisherigen Stil der Erkennung von Texten angewiesen ist.

Google hat die ursprünglichen reCAPTCHAs, die Grafiken einsetzen, um Texte zu digitalisieren, bis ins Jahr 2018 genutzt. Solche reCAPTCHAS wurden bis zuletzt millionenfach gelöst. Entsprechende CAPTCHAs wurden dabei innerhalb eines kurzen Zeitraums vielen Benutzern zeitgleich präsentiert. Die häufigste Eingabe wurde als richtiges Ergebnis angenommen.

Seit April 2018 hat Google sein Abtipp-CAPTCHA jedoch abgeschaltet und Website-Betreiber, die reCAPTCHA v1 nutzen, dazu aufgefordert, auf eine andere reCAPTCHA umzusatteln. Zu den neueren Arten von reCAPTCHA-Tests gehören unter anderem: Bilderkennungen, Kontrollkästchen oder automatische Beurteilungen des Benutzerverhaltens, bei der keine Benutzerinteraktion mehr nötig ist.

"<yoastmark

reCAPTCHA v2

Im Jahr 2013 hat Google damit begonnen, mit reCAPTCHA v2 auch verhaltensorientierte Analysen in CAPTCHAS zu implementieren. Meistens werden bei CAPTCHA v2 die Browser-Interaktionen von Benutzern untersucht, um eine Wahrscheinlichkeit zu errechnen, ob es sich um einen menschlichen Benutzer oder einen Bot handeln.

In den meisten Fällen erkennt reCAPTCHA dabei den menschlichen Nutzer bereits an der Mauszeigerbewegung und ‑geschwindigkeit. Roboter können kleine Cursorbewegungen, die Menschen mit ihren Händen automatisiert machen, nämlich nicht gut imitieren.

Beurteilt reCAPTCHA das Verhalten des Websitebesuchers als menschlich, gibt es je nach Konfigurierung der reCAPTCHA v2 zwei Möglichkeiten: Dem Websitebesucher wird entweder eine anzuklickende Checkbox mit dem Titel „I’m not a robot“ angezeigt oder mit dem sogenannten Invisible reCAPTCHA ein Hinweis eingeblendet, dass Google das Nutzerverhalten analysiert (und den Nutzer als Menschen identifiziert) hat. Identifiziert reCAPTCHA v2 den Nutzer nicht eindeutig als menschlich, muss dieser ein Bilderkennungstest bestehen.

„I’m not a robot“-Checkbox & Invisible reCAPTCHA

Wenn der Automatismus den Nutzer als Menschen identifiziert, wird ihm die heute jedem bekannte Checkbox mit dem Titel „I’m not a robot“ angezeigt, die er lediglich anklicken muss. Das reCAPTCHA 2.0 kann auch die vom Browser auf einem Benutzergerät gespeicherten Cookies und den Verlauf des Geräts beurteilen, um zu ermitteln, ob der Benutzer ein Bot ist.

Bei Googles relativ neuer Invisible reCAPTCHA kommt Javascript zum Einsatz. Bei der CAPTCHA, die von Google nach einer längeren Testphase im Jahr 2017 freigegeben wurde, findet keine direkte Interaktion des CAPTCHAs mit dem Nutzer statt.

„I’m not a robot“-Checkbox

Die „I’m not a robot“-Checkbox gehört wohl zu den weltweit bekanntesten CAPTCHAs. Bild: © Google

reCAPTCHA-Bilderkennungstest

Der sogenannte reCAPTCHA-Bilderkennungstest kommt dann zum Einsatz, wenn Nutzer von reCAPTCHA v2 als nicht eindeutig menschlich identifiziert werden können. Bei ihm bekommt der Nutzer neun bis 16 anklickbare quadratische Einzelbilder oder Bilderteile eines einzigen großen Bildes angezeigt, die er in Hinblick auf eine bestimmte Aufgabenstellung auswählen muss. Die Aufgabenstellung kann den Nutzer beispielsweise dazu auffordern, alle Bilder oder Bildteile mit Verkehrshinweisen, Hausnummern, Ampeln und Straßennamen, aber auch Tieren, Hunden oder Bäumen auszuwählen. Meistens stammen die Bilder oder Bildteile aus Google Street View.

Wenn die Auswahl mit der Auswahl der meisten anderen Benutzer übereinstimmt, die den gleichen Test zeitgleich durchgeführt haben, wird die Antwort als korrekt eingestuft. In diesem Fall besteht der Nutzer den reCAPTCHA-Test.

reCAPTCHA: Trainingsprogramm für künstliche Intelligenz

Mithilfe der reCAPTCHA-Bilderkennungstests trainiert Google übrigens seine künstliche Intelligenz. Dadurch, dass menschliche Benutzer rund um die Uhr bestimmen, was sie in welchen Bildern sehen bzw. darlegen, welche Konzepte sie mit welchen Bildern in Verbindung bringen, bekommt Googles hauseigene Intelligenz eine gigantische Datenbank zur Verfügung gestellt, mit dem sie sich mittels Deep Learning weiterentwickeln kann. Mit Google AI (auch Google.ai) entwickelt der Weltkonzern, der vor allem für seine gleichnamige Suchmaschine bekannt ist, schon seit einigen Jahren eine künstliche Intelligenz, die jetzt schon als eine der am besten entwickelten KIs der Welt gilt.

Wie reCAPTCHA-Bilderekennungstests manchmal seien können, stellt Security-Guru Mikko Hypponen, der derzeit als Chief Research Officer bei WithSecure und Principal Research Advisor bei F-Secure tätig ist, mit einem witzigen Tweet dar:

reCAPTCHA v3

Mit dem relativ jungen reCAPTCHA v3 verifiziert Google menschliche Nutzer, ohne dass sie mit dem CAPTCHA interagieren müssen oder sie etwas vom CAPTCHA sehen. Es handelt sich bei reCAPTCHA v3 um eine reine JavaScript-API, die eine Abschätzung darüber liefert, wie wahrscheinlich es ist, dass es sich bei dem Websitebesucher um einen Menschen handelt.

Aufgrund eines automatisiert ermittelten Risk Scores wird beurteilt, ob der Nutzer keine Sicherheitsabfrage mehr beantworten muss oder ein weiteres, sichtbares CAPTCHA angezeigt wird. Auch können mit reCAPTCHA v3 Interaktionen sofort unterbunden werden. Das passiert, wenn es sich bei dem Nutzer mit extrem hoher Wahrscheinlichkeit um einen Roboter handelt.

Die reCAPTCHA-API von reCAPTCHA v3 funktioniert, indem sie Informationen zur vom Nutzer verwendeten Hardware und Software sowie Geräte- und Anwendungsdaten sammelt, auswertet und zur Analyse an Google sendet. Dadurch benötigt man zwingend das Einverständnis des Website-Benutzers, wenn man auf seiner Website reCAPTCHA v3 verwendet. Website-Betreiber sind in der Pflicht, Benachrichtigungen anzuzeigen und die Erlaubnis zur Erfassung und Weitergabe der Nutzerdaten einzuholen.

Mit einem YouTube-Video hat Google vor ungefähr drei Jahren reCAPTCHA v3 vorgestellt:

Wie man Google reCAPTCHA integriert

Durch die Verwendung von CAPTCHAs stellen Sie sicher, dass sich legitime Benutzer auf Ihrer Website anmelden, Einkäufe tätigen oder Konten erstellen können, während Fake-User blockiert werden. reCAPTCHA ist für Sie dann die geeignete CAPTCHA-Lösung, wenn Sie zwar eine entsprechende Sicherheitsabfrage benötigen, Ihre Website-Besucher aber nicht mit Bilderrätseln mit verschnörkelten Buchstaben und Zahlen quälen möchten.

reCAPTCHA v2 und reCAPTCHA v3 sind kostenlose CAPTCHA-Services von Google, mit denen Sie Ihre Webseite einfach gegen die missbräuchliche Verwendung von bösartigen Bots wie Spam-Bots oder Meinungsbots sichern können. Auf der offiziellen reCAPTCHA-Website erfahren Sie, wie Sie entsprechende CAPTCHAs integrieren können.

Neuerdings bietet Google übrigens auch das reCAPTCHA Enterprise an. Google empfiehlt vor allem Großkonzernen, auf diese kostenpflichtige CAPTCHA-Lösung zu setzen und somit besser abgesichert zu sein.

Professionelle Unterstützung

Benötigen Sie mit Ihrem Unternehmen Unterstützung bei der Integration von reCAPTCHA oder anderen Sicherheitsabfragen auf Ihrer Website? PC-SPEZIALIST in Ihrer Nähe ist der geeignete Ansprechpartner für kleine Unternehmen, die zur Anwendung und Integration eines CAPTCHA-Verfahrens auf Ihrer Webseite eine kompetente Beratung benötigen. Sprechen Sie uns einfach an, wenn Sie unsicher sind, ob Invisible reCAPTCHA Ihren Ansprüchen genügt oder wenn Sie beim Einbau der CAPTCHA auf Ihrer Webseite Hilfe benötigen.

Wir stehen Ihnen übrigens auch bei der Erarbeitung eines passgenauen IT-Sicherheitskonzeptes kompetent zur Seite. Egal, ob für Ihre Website oder die gesamte IT-Infrastruktur. Mit unserem IT-Basisschutz haben wir ein individuell gestaltbares Paket für Ihre Firma im Angebot, das sich am BSI-Grundschutz und dem BSI-Grundschutzkatalog orientiert.
_______________________________________________
Andere Stimmen zum Thema: Cloudflare, sixhop.net, usercentrics, wnm, heise.de

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare