Wie Sie sich mit CAPTCHAs schützen

Was Unternehmen beim Implementieren bedenken sollten


8. Februar 2019, von in IT-Sicherheit

Die Aufgabe von CAPTCHAs besteht darin, zu erkennen, ob der Zugriff auf eine Website von einem menschlichen Benutzer ausgeht. Automatisierte Prozesse ahmen menschliches Verhalten aber mittlerweile so gut nach, dass sie nahezu alle textbasierten CAPTCHAs lösen können. Wie können sich Unternehmen mit Sicherheitsabfragen effektiv schützen und was sollten Sie hierbei bedenken?

textbasiertes CAPTCHA

Die ersten CAPTCHAs verzerrten die Buchstaben von einfachen Zeichenfolgen (hier „IpSC5“) durch Bildfilter, um die Schrift für Maschinen unlesbar zu machen. (Bild: pixabay.com/annemazo; Montage: Robin Laufenburg)

Was sind CAPTCHAs?

Der Begriff CAPTCHA steht für „Completely Automated Public Turing test to Tell Computers and Humans Apart“. Dabei handelt es sich um vollautomatische, öffentliche Testverfahren zur Unterscheidung von Mensch und Computer. Der Begriff wurde zwar erst im Jahr 2000 von Lehrenden der Carnegie Mellon University entwickelt, das erste CAPTCHA wurde als Bild mit verzerrter Schrift jedoch bereits 1997 nachgewiesen. CAPTCHAs unterscheiden sich vom klassischen Turing-Test dadurch, dass nicht Menschen, sondern Maschinen zwischen Mensch und Computer unterscheiden.

Der Anwendungsbereich von CAPTCHAs

CAPTCHAs dienen der IT-Sicherheit und werden üblicherweise als Kontrollinstanz eingesetzt. Sie sollen prüfen, ob Eingaben in Internetformularen von einem Menschen oder von einem Bot getätigt werden. Bots sind Computerprogramme, die in der Regel automatisierte Prozesse ausführen. Hiermit werden vor allem Kontaktdaten wie E-Mail-Adressen systematisch gesammelt. Sicherheitsabfragen schützen solche sensiblen Daten vor Bots.

Gespeicherte Informationen werden von Cyberkriminellen legal oder illegal verkauft oder für eigenes Spamming missbraucht. Durch das Auslesen der mit einer E-Mail-Adresse verknüpften Daten wie dem Vollnamen und der Zuständigkeit in einem Unternehmen werden gezielte und individualisierte Spam-Attacken wie Emotet gestützt.

Auch die Überflutung von Foren, digitalen Gästebüchern oder Kommentarspalten mit maschinell erstellten Werbetexten soll mithilfe von CAPTCHAs unterbunden werden. Ebenso werden sie dafür eingesetzt, die Teilnahme an Umfragen sowie die automatisierte Erstellung von E-Mail-Adressen oder anderen Accounts zu verhindern.

Wie funktionieren CAPTCHAs?

In der Regel handelt es sich bei CAPTCHAs um Challenge-Response-Tests, bei denen eine Aufgabe (Challenge) gelöst und ein entsprechendes Ergebnis (Response) zurückgeschickt werden muss. Das Erstellen der Aufgaben erfolgt vollautomatisiert nach bestimmten Regeln via Zufallsgenerator. Ein CAPTCHA darf sich nicht an einem vorgefertigten Fragenkatalog bedienen, da es sonst zu einer schneller Wiederholung kommen würde.

Oft ist die Abfrage von einem Benutzer nur einmalig zu lösen. Wenn dies erfolgreich ist, werden seine Zugriffsdaten auf eine Whitelist gesetzt. Traditionell handelt es sich bei solchen Aufgaben um das Abschreiben von grafisch verzerrten und skalierten alphanumerischen Zeichenfolgen oder das Lösen von bildlich dargestellten Rechenaufgaben oder Rätseln. Neben den textbasierten CAPTCHAs kommen aber auch immer häufiger bildliche, auditive oder audiovisuelle (also Bild-, Ton- oder Video-CAPTCHAs) zum Einsatz. Die verwendeten Algorithmen sind zu veröffentlichen, damit ihre Sicherheit nach Kerckhoffs‘ Prinzip beurteilbar ist und das Prinzip der Sicherheit durch Unklarheit vermieden wird.

Rechen-CAPTCHA als Weiterentwicklung des traditionellen CAPTCHAs

Mit Rechen-CAPTCHAs müssen Zeichen nicht nur erkannt, sondern auch ausgewertet werden. (Bild: wikipedia.de/asdil12)

Das Problem mit der Barrierefreiheit

Im Hinblick auf die Verordnung zur Schaffung barrierefreier Informationstechnik nach dem Behindertengleichstellungsgesetz (kurz: BITV) werden herkömmliche CAPTCHAs vom Bundesministerium für Arbeit und Soziales wegen fehlender Barrierefreiheit kritisiert. Das Ministerium fordert nach der BITV, dass eine Auswahl an mehreren Möglichkeiten zum Lösen eines CAPTCHAs angeboten werden sollte. Auch muss einem CAPTCHA gemäß der minimalen Anforderungen der BITV ein Alternativtext mit einer Beschreibung zuzuweisen sein.

Mittlerweile sind neben den textlich-grafischen häufig auch auditive Sicherheitsmechanismen im Einsatz. Solche bestehen zumeist aus Lauten, die Buchstaben oder zusammenhanglose Wörter bilden. Bemängelt wird dennoch, dass die meisten CAPTCHAs nicht gänzlich barrierefrei seien. Unter anderem könnten Taubblinde und Benutzer von rein textlichen Browsern, aber auch intellektuell benachteiligte Menschen die gängigen CAPTCHAs unmöglich lösen.

Sind CAPTCHAs sicher?

Optimal sind Challenge-Response-Tests für Menschen möglichst einfach zu bewältigen, von Bots aber nur durch bestimmte Algorithmen und mit hohem Rechenaufwand lösbar. Das ist in der Praxis jedoch schwierig umzusetzen, da Computer stets im Hinblick auf das Lösen der neuesten CAPTCHAs weiterentwickelt werden.

Das maschinelle Lösen von textbasierten CAPTCHAs wird durch immer professioneller werdende und z.T. offen zugängliche Muster- und Texterkennungsmechanismen zunehmend einfacher. Während Programme stetig weiterentwickelt werden, um Sicherheitsmechanismen zu umgehen, versuchen solche Mechanismen, maschinelles Verhalten genau zu erfassen. Hierbei ist vor allem problematisch, dass viele textbasierte CAPTCHAs mittlerweile nicht nur maschinell zu bewältigen, sondern gleichzeitig aufgrund ihrer Komplexität für die meisten Menschen äußerst schwierig zu lösen sind.

Der Einsatz von Menschen zum Lösen von CAPTCHAs

Heute setzen Cyberkriminelle vermehrt auf Menschen zum Lösen von CAPTCHAs. Vor allem Personen in Drittweltländern arbeiten mit einem extrem niedrigen Lohnniveau als Billigkräfte zum Lösen von Challenge-Response-Tests. Von speziellen Automatisierungsprozessen werden die Sicherheitsabfragen an Unternehmen weitergeleitet, die sie von Arbeitern lösen lassen. Die Lösungen gehen binnen Sekunden zurück und werden automatisch eingesetzt bzw. an entsprechende Bots weitergegeben. Das Lösen von Sicherheitsabfragen durch Arbeiter aus dem asiatischen Raum ist höchst effizient, weil es sich um echte Menschen handelt.

Vor mehr als zehn Jahren wurden bereits das erste Mal Menschen zum Lösen von CAPTCHAs eingesetzt. Zum Teil werden sie heute noch auf Websites mit pornographischen oder illegalen Inhalten weitergeleitet. Nutzer lösen sie auf diesen Plattformen freiwillig, da die CAPTCHAs als eigene Sicherheitsabfrage oder als Spiel getarnt sind.

Algorithmen zum Lösen von CAPTCHAs

Wie leicht die gängigen CAPTCHAs rein automatisiert zu umgehen sind, zeigen schon ältere Projekte wie PWNtcha oder aiCaptcha. Auf den Websites der Projekte sind die Entschlüsselungsquoten durch eigens entwickelte Bots aufgelistet. Mithilfe von algorithmischen Scripts sind viele herkömmliche CAPTCHAs mit Computerprogrammen leicht zu entschlüsseln, denn sie bieten bei ihrer Erstellung de facto kaum Variation.

Spezialisierte Tools finden auch immer neue Wege, die Verifikationsmechanismen von Sicherheitsabfragen zu brechen. Unter anderem entwickelt sich die Texterkennung (kurz OCR für „Optical Character Recognition“) immer weiter und bleibt daher ein beliebtes Hilfsmittel für das automatisierte Lösen von textbasierten CAPTCHAs.

Neue Tendenz: Machine-Learning-Algorithmen

Ende Dezember 2018 ist eine Forschergruppe aus Großbritannien und China mit einer Studie zu einem eigens entwickelten Machine-Learning-Algorithmus an die Öffentlichkeit gegangen, der sämtliche textbasierte CAPTCHAs mit einer Erfolgsrate von nahezu 100 Prozent knacken kann. Der Algorithmus wurde an textbasierten CAPTCHAs von Seiten wie Wikipedia, PayPal, Microsoft, eBay oder Google getestet. Er kann CAPTCHAs innerhalb von 50 Millisekunden erfolgreich entschlüsseln und ist somit präziser und schneller als alle bisher bekannten Algorithmen.

Er ist zwar im akademischen Umfeld entstanden, doch legen die Entwickler nahe, dass Bots bereits in kurzer Zeit vergleichbare Algorithmen nutzen werden. Das Fazit des Wissenschaftlerteams: Websites, die auf textbasierte CAPTCHAs als primären Sicherheitsmechanismus setzen, sollten spätestens jetzt umsatteln.

Alternativen zum textbasierten CAPTCHA

Eine Alternative zu den klassischen, textbasierten CAPTCHAs bieten umfassendere CAPTCHA-Dienste wie z.B. reCAPTCHA oder FunCaptcha. Solche Dienste kann man nur mit größerem Mehraufwand knacken. Sie sind in ihrer Anwendung deutlich komplexer als rein textbasierte CAPTCHA-Abfragen.

reCAPTCHA lässt Benutzer Ampeln zuordnen

Google LLC setzt mit reCAPTCHA auf die menschliche Fähigkeit der Bilderkennung. (Bild: Screenshot/reCAPTCHA)

reCAPTCHA

Der marktführende und mittlerweile größte CAPTCHA-Dienst ist reCAPTCHA. Google LLC hat den Dienst 2009 übernommen. Ursprünglich half er beim Digitalisieren von Büchern und Zeitschriften, indem maschinell nicht auswertbare Zeichenfolgen angezeigt werden. Jetzt wird der Dienst vor allem genutzt, um Verkehrshinweise, Hausnummern und Straßennamen entsprechenden Bildern aus Google Street View zuzuordnen.

Seit 2013 agiert reCAPTCHA verhaltensorientiert, d.h. es betrachtet z.B. die Browser-Interaktion des Benutzers und errechnet so die Wahrscheinlichkeit, mit der es sich bei dem Anwender um einen Menschen handelt. Wird die Wahrscheinlichkeit als hoch eingeschätzt, muss der Anwender in einem Auswahlfeld „I am not a robot“ ankreuzen.

Wird der Benutzer aber als potentielles Programm identifiziert, so muss er zur Sicherheitsabfrage Straßenschilder, Ampeln oder andere Objekte, die meistens aus Google Street View stammen, identifizieren oder alternativ eine kurze Tonnachricht transkribieren. Während reCAPTCHA als sicherster und fortschrittlichster CAPTCHA-Dienst gilt, gab es dennoch bereits Anwendungen, die den Mechanismus erfolgreich umgangen haben. Mehr dazu erfahren Sie in einem Artikel von Ralph Dombach.

FunCaptcha

FunCaptcha ist ein CAPTCHA-Dienst, der durch kleine Spiele menschliche und maschinelle Anwender auseinander hält. Bei Sicherheitstests müssen Objekte mit der Maus gedreht und verschoben werden.

Während mit FunCaptcha zwar Menschen erst einmal klarer identifiziert werden dürften, ist davon auszugehen, dass das Lösen eines CAPTCHAs zeitaufwendiger wird und die spielerische Sicherheitsabfrage auch nicht unbedingt in den Rahmen einer jeden Website passt.

Alternative Lösungen zu CAPTCHAs

CAPTCHAs sind zwar die weitverbreitesten Sicherheitsabfragen zur Erkennung von maschinellem Zugriff, doch gibt es auch alternative Sicherheitsmechanismen. Laut des Bundesministerium für Arbeit und Soziales sind diese z.T. sicherer und benutzerfreundlicher. Zu bekannten Alternativen gehören unter anderem die folgenden Lösungen:

Serverseitige Filter

Einfache Spambots weisen traditionell bestimmte Eigenschaften auf, anhand derer sie leicht identifizierbar sind. Dazu gehören nicht nur Informationen wie die IP-Adresse oder User-Agent-Kennzeichnung, sondern auch Auffälligkeiten beim Ausfüllen von Formularen. Mithilfe von schwarzen Listen, die von Projekten wie Bot-Trap erstellt werden, können solche Filter aufgebaut werden.

Zeitstempel

Da Bots Internetformulare normalerweise mit enormer Geschwindigkeit ausfüllen, sind sie auch mithilfe von Zeitstempeln identifizierbar. Momentan bieten Zeitstempel eine effektive Möglichkeit, Bots zu erkennen. Es ist jedoch davon auszugehen, dass sich Bots anpassen werden, sollten sich Zeitstempel als Kontrollmechanismus durchsetzen.

Spam-Fallen/Honeypots

Mithilfe von CSS-Eigenschaften oder JavaScript-Anwendungen können Sie Eingabefelder erstellen, die für menschliche Benutzer nicht sichtbar sind. Bots füllen sie standardisiert aus, da sie sie als legitime Eingabefelder erkennen.

Der Markenführer reCAPTCHA

Der marktführende CAPTCHA-Dienst ist reCAPTCHA von Google. (Bild: Screenshot/reCAPTCHA)

Was sollten Unternehmen beachten?

Welche Sicherheitsabfrage für Ihre Unternehmenswebsite geeignet ist, lässt sich nicht pauschal sagen. Sie sollten jedoch ein CAPTCHA oder eine vergleichbare Sicherheitsabfrage in Ihre Website implementieren, wenn Sie mindestens ein Formular oder sensible Daten wie E-Mails eingebunden haben.

Tipps für die Auswahl und Einbindung von CAPTCHAs

  • Stellen Sie sicher, dass Sie nur zuverlässige und benutzerfreundliche Sicherheitsabfragen verwenden. Ohne Frage sollten Sie stets textbasierte den nicht textbasierten CAPTCHAs vorziehen.
  • Stellen Sie sicher, dass Ihr CAPTCHA BITV-konform ist. Sorgen Sie dafür, dass es mindestens zwei Möglichkeiten gibt, ein CAPTCHA zu lösen (z.B. grafisch und auditiv).
  • CAPTCHAs sind nicht selbsterklärend. Schreiben Sie eine kurze Beschreibung zu der von Ihnen eingebundenen Sicherheitsabfrage.
  • Binden Sie Sticky Forms ein, damit bei einer fehlerhaften Lösung des CAPTCHAs nicht das gesamte Formular neu ausgefüllt werden muss.
  • Kontaktieren Sie einen regionalen IT-Dienstleister. Lassen Sie sich beraten, welches CAPTCHA für Sie am geeignetsten ist und wie sie es am besten einbinden. Geben Sie auf Wunsch auch die lästige Aufgabe der Beschaffung und Einbindung ab.

Sorgen Sie dafür, dass Ihre Sicherheitslösungen auch wirklich sicher und benutzerfreundlich sind.

border_color

IT-SERVICE.NETWORK – Nehmen Sie Kontakt zu uns auf!

Unsere IT-Dienstleister beraten Sie zu der Auswahl und Implementierung einer für Ihre Unternehmenswebsite optimale Sicherheitsabfrage.

Jetzt Kontakt aufnehmen!

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.