reCAPTCHA: Sinn, Funktionsweise und Registrierung
Allgemein steht CAPTCHA für Completely Automated Public Turing test to tell Computers and Humans Apart – auf Deutsch: vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen. Captchas dienen also der Sicherheit vor der massenhaften Verwendung einer Funktion durch spezielle Computerprogramme – so genannte Bots.
Inhaltsverzeichnis
Wo machen CAPTCHAs Sinn?
Damit machen CAPTCHAs überall dort Sinn, wo mißbräuchlich Bots eingesetzt werden – bei Eingaben in Internetformularen, Online-Umfragen, Gästebüchern, Registrieren von E‑Mail-Adressen (von denen Spam gesendet werden kann), Registrieren von Benutzeraccounts und so weiter.
Wie funktioniert ein CAPTCHA?
Ein Captcha stellt den Nutzer vor eine Aufgabe, die idealerweise für Menschen einfach zu lösen ist, während sie für Computer sehr schwierig sein sollte. Früher kamen hauptsächlich grafische Captchas zum Einsatz, zum Beispiel ein Text, der durch Bildfilter verzerrt wurde. Computer benötigen ressourcenintensive und aufwendig programmierte Mustererkennungs-Algorithmen, um derartige Bilder zu verarbeiten, während Menschen sie meistens relativ einfach lesen können. Grundsätzlich ist jedes schwierige Problem der künstlichen Intelligenz geeignet, für ein Captcha verwendet zu werden.
Viele Captchas sind unter dem Gesichtspunkt der Benutzerfreundlichkeit problematisch. Ein Captcha stellt eine Hürde dar, die teilweise zu einem erheblichen Mehraufwand für den Nutzer bei der Zielerreichung führt. Zudem erschließt sich der Zweck eines Captchas vielen Betroffenen nicht intuitiv, was zu Irritationen über eine vermeintlich sinnlose Funktion und zu Nutzungsabbrüchen, Fehlermeldungen und Unzufriedenheit beim Nutzer führen kann.
Ein gutes Captcha muss also 2 Bedingungen erfüllen:
1. Sicherheit – es darf nicht zu leicht umgangen werden können
2. Benutzerfreundlichkeit – der Benutzer soll möglichst wenig Mehraufwand haben
ReCAPTCHA – diese Schaltflächen hat wohl jeder schon gesehen. Aber, was steckt eigentlich dahinter?
Ursprünglich wurde das reCaptcha Projekt von der Carnegie-Mellon-Universität ins Leben gerufen, um durch die Eingabe von Texten bei der Digitalisierung von Büchern zu helfen. Es wurde als Erkennungsaufgabe für den Nutzer gescannter Text verwendet, bei dem die maschinelle Texterkennung schon versagt hatte. Erkannten mehrere Nutzer ein bestimmtes Wort übereinstimmend, so wurde dieses von der Software in das Buch übernommen.
Seit 2009 ist reCAPTCHA ein kostenloser Service von Google, der Ihre Webseite mit einem ausgeklügelten Algorithmus aus der Risikoanalyse vor Bots schützt.
Dabei kommen nur noch selten verzerrte oder unscharfe Bilder zum Einsatz – in den meisten Fällen erkennt reCAPTCHA den menschlichen Nutzer schon an der Mauszeigerbewegung und ‑geschwindigkeit. Kommt als zusätzliche Sicherung im Zweifelsfall doch ein grafisches Captcha zum Einsatz, so hat Ihre Lösung des reCAPTCHAs einen echten Mehrwert: Google nutzt nämlich immer noch die grafischen reCAPTCHAs, die täglich millionenfach gelöst werden, um Texte zu digitalisieren, Fotos mit Annotationen zu versehen und Datenbanken für Maschinenlernen aufzubauen.
Es wird zum Beispiel ein Foto von Google StreetView angezeigt, und der Nutzer soll einen darauf sichtbaren Text eintragen. Haben viele Nutzer das gleiche eingetragen, so wird der Text in Google Maps übernommen.
Außerdem sind die grafischen reCAPTCHAs für den Nutzer meist wesentlich einfacher zu lösen als bei herkömmlichen Captchas. So müssen weder Matheaufgaben gelöst, noch Texte abgetippt werden, sondern es handelt sich meistens um ein Foto, auf dem wahlweise Verkehrsschilder, Fahrzeuge, Flüsse oder Schaufenster erkannt werden sollen.
Um die Barrierefreiheit des Internets zu verbessern, bietet Google zu jedem grafischen reCAPTCHA eine akustische Alternative an.
ReCAPTCHA ist damit im Moment eine der besten Möglichkeiten, mit denen Sie Ihre Webseite vor Bots schützen können.
Wie bekommen Sie ReCAPTCHA für Ihre Webseite?
Um ReCAPTCHA zu nutzen, brauchen Sie als erstes ein Schlüsselpaar für die reCAPTCHA API. Das Schlüsselpaar besteht aus einem Websiteschlüssel (site key) und einem geheimen Schlüssel (secret key). Der Websiteschlüssel wird in den HTML-Code Ihrer Webseite integriert und sorgt dafür, dass der Nutzer ein reCAPTCHA angezeigt bekommt. Der geheime Schlüssel sorgt für die Kommunikation Ihrer Webseite mit dem Google reCAPTCHA Server um die Nutzerantwort zu überprüfen.
Um für Ihre Domain ein API Schlüsselpaar anzulegen, besuchen Sie bitte folgende Webseite: https://www.google.com/recaptcha/admin#list
Sie müssen dazu in Ihren Google-Account eingeloggt sein.
1. Geben Sie den Namen Ihrer Webseite in das Feld „Label“ ein.
2. Hier werden Sie aufgefordert, den Typ reCAPTCHA zu wählen, den Sie benutzen möchten, da jedes Schlüsselpaar nur für einen Typ reCAPTCHA gültig ist. Wir benutzen selbst reCAPTCHA v2 und empfehlen diese Option auch für die Webseiten unserer Kunden.
reCAPTCHA v2
Bei reCAPTCHA v2 wird die bekannte Checkbox mit dem Titel „I´m not a robot“ angezeigt. In den meisten Fällen reicht hier ein Klick und der Nutzer ist validiert. Im Zweifelsfall muss der Nutzer zusätzlich ein grafisches oder alternativ akustisches Captcha lösen. Dies ist die einfachste Option in der späteren Integration, da nur 2 Zeilen HTML-Code eingefügt werden müssen.
reCAPTCHA v3
Invisible reCAPTCHA
reCAPTCHA Android
3. Geben Sie Ihre Domains ein (je eine Domain pro Zeile). Subdomains sind mit der Domain abgedeckt. Sie müssen also www.testseite.de und www.testseite.de/unterseite NICHT einzeln eingeben. Was Sie einzeln eingeben müssen ist www.meine-seite.de und meine-seite.de falls Ihre Seite über diese beiden Domains erreichbar ist!
4. Lassen Sie „Benachrichtigungen an Inhaber senden“ angehakt, um Warnmeldungen zu erhalten, wenn Google Probleme mit Ihrer Website ermittelt, zum Beispiel eine fehlerhafte Konfiguration oder eine zunehmende Anzahl verdächtiger Zugriffe und klicken Sie auf Registrieren.
Auf der folgenden Seite finden Sie Ihr API Schlüsselpaar, den zu integrierenden HTML-Code bzw. die Javascript files und eine Anleitung zur Integration.
Fazit
ReCAPTCHA ist ein kostenloser Service von Google, mit dem Sie Ihre Webseite sehr einfach gegen die missbräuchliche Verwendung von Bots absichern können.
Für CMS-basierte Webseiten erübrigt sich die Integration oft, da einfach entsprechende Plugins installiert werden, die nur noch das API-Schlüsselpaar benötigen.