Das Ende der Bild-Captchas

Know-how  –  Kommentare

Captchas aus verzerrtem Text sind zwar ein beliebter Sicherheitsmechanismus. Jedoch bereitet ihre Lösung Anwendern häufig zu viel Mühe, und Computern fällt es leichter als erwünscht. Andere Verfahren stören weniger und sind ebenso zuverlässig.

Zu einem früheren Zeitpunkt stellte heise Developer eine Methode vor, mit PHP sogenannte Bild-Captchas zu erstellen. Ein Captcha (Completely Automated Public Turing Test to Tell Computers and Humans Apart) soll Menschen von Softwarerobotern (Bots) unterscheiden. Dazu dienen häufig Bilder, aus denen der Anwender versteckte Buchstaben und Zahlen in ein Textfeld übertragen muss. Obwohl wesentlich bessere Captcha-Verfahren existieren, halten sich die Bildchen hartnäckig.

Es gibt verschiedene Gründe für die Anwendung von Captchas und damit verbundene Einsatzgebiete. Von Blogs, Foren und sozialen Netzen über freie Mail-Angebote bis hin zu Banken – viele Dienste setzen ein Captcha als Schutz vor dem automatisierten Missbrauch ein. Dabei geht es ebenso um die Abwehr von Spam wie um den Schutz von Informationen, zum Beispiel bei einer Seite mit Börsenkursen oder einer Onlineumfrage. Das simple Prinzip: Ein oder mehrere Tests entscheiden, ob die Eingabe von einem Menschen oder einem Programm stammt. Die Umsetzung dagegen ist knifflig und fehlerbehaftet.

Ein ideales Captcha erfüllt folgende Bedingungen:

  1. Heutige Computer können den Test nicht lösen.
  2. Menschen können ihn (meistens) lösen.
  3. Es lassen sich neue Frage-Antwort-Kombinationen generieren.
  4. Menschen sollen den Test in möglichst kurzer Zeit lösen.

Als Alan Turing 1950 den Test formulierte, glaubte er, dass Computer 50 Jahre später einem Anwender nach einem fünfminütigen Dialog in 70 Prozent der Fälle vorgaukeln könnten, sie seien menschlich. Da sich diese vier Vorgaben beeinflussen, gibt es bisher kein Verfahren, das alle erfüllt und so perfekt Menschen von Maschinen unterscheidet.