reCAPTCHA v3: neue Version ohne Nutzer-Interaktion

Von | 6. November 2018

Die dritte Version von Googles reCAPTCHA API verzichtet auf Rätselaufgaben

Um Missbrauch durch Bots möglichst gering zu halten, bietet Google das Tool reCAPTCHA an. Das Wort CAPTCHA bedeutet „Completely Automated Public Turing Test To Tell Computers And Humans Apart“. Der lange Name basiert auf einer Definition von IT-Experten der Carnegie-Mellon-Universität aus dem Jahr 2000 und sagt quasi schon, worum es geht.
Das auf Javascript basierende CAPTCHA wird in den Quellcode der Website eingebunden und kommt unter anderem bei Registrierungen oder beim Posten von Reviews zum Einsatz. So können beispielweise gefälschte Reviews verhindert bzw. nachträglich entdeckt werden. Um sich als Mensch zu verifizieren, müssen Websitebenutzer bisher Aufgaben lösen und dabei verzerrte Buchstaben entziffern oder bestimmte Objekte auf Fotos erkennen.

Das gängige System hat sich als sehr nützlich aber auch nervig herausgestellt. Da die Überprüfung bei vielen Usern auf Frustration stößt und bestimmte Personengruppen benachteiligt, führen CAPTCHAs häufig zu Nutzungsabbrüchen. Auch für den Menschen werden die CAPTCHAs immer schwerer zu lösen und stellen daher langfristig keine geeignete Lösung dar. Die neue Version; reCAPTCHA v3, soll nun ohne Interaktion seitens der Websitebesucher auskommen und im Hintergrund zwischen Mensch und Maschine unterscheiden. Wer von den Sicherheitsabfragen genervt oder dadurch benachteiligt ist, muss sich künftig also nicht mehr von Aufgaben aufhalten lassen bzw. bestätigen kein Roboter zu sein.

reCAPTCHA v3

reCAPTCHA v3 – Bild: Google

 

Was bietet die neue Version?

An Stelle der bisherigen Interaktion analysiert reCAPTCHA v3 im Hintergrund das Userverhalten und bewertet dieses mit einer Punktzahl. Heraus kommen Werte zwischen 0 und 1. Je niedriger dieser Wert, desto höher die Wahrscheinlichkeit dass die Anfrage durch Bots generiert wurde. Standardmäßig werden Zugriffe ab einem Wert von 0,5 geblockt. Der Betreiber kann die Grenze aber individuell festlegen und reCAPTCHA v3, im Gegensatz zu den Vorgängerversionen, nach seinem Bedarf anpassen.
Zur Nutzung des Wertes stehen drei Möglichkeiten zur Verfügung. Eine Option ist beispielsweise das Festlegen eines Grenzwertes welcher bestimmt, ob ein Nutzer durchgelassen wird oder ob weitere Verifikationen, z.B. in Form einer Zwei-Faktor-Authentifizierung nötig sind. Des Weiteren lässt sich die berechnete Punktzahl auch mit internen Daten, wie Nutzerprofilen und Transaktionshistorien, kombinieren. Außerdem kann die dritte reCAPTCHA-Version anhand der ermittelten Punktzahlen zum maschinellen Lernen und im Zuge dessen zur Vermeidung von Missbrauch beitragen.

„Actions“ ermöglichen bessere Erkennung von Bots

Um Bots effizienter zu identifizieren, führt Google ein neues Konzept namens „Action“ ein. Mithilfe dieser Tags kann der Betrieber wichtige Elemente der Website definieren, was eine Risikoanalyse in spezifischem Kontext ermöglicht. Durch den Verzicht auf Interaktion, kann reCAPTCHA v3 auf mehreren einzelnen Seiten der Website eingebunden werden, was laut Google einen besseren Schutz zur Folge hat.

Viele Vor- aber auch Nachteile

reCAPTCHA v3 verspricht also ein besseres Nutzererlebnis und mehr Sicherheit für Website-Betreiber. Benutzer könnten sich in Zukunft also weniger mit dem Lösen von Rätseln, dafür aber mehr mit Bedenken bezüglich des Datenschutzes beschäftigen. Denn ein solcherart, im Hintergrund funktionierender, Prozess birgt immer auch das Risiko auf Misstrauen zu stoßen. Wie die neue Version sich künftig macht, wird sich also noch herausstellen.