Blog

Bots lesen Captchas

 it security transdata multimedia iserlohn news

Intelligente Bots umgehen Captcha Schutz

Captchas findet man meist unter Kontaktformularen. Mal ist es eine kleine Rechenaufgabe, mal eine Grafik, mal verschwommene Buchstaben, die man erkennen und in ein Prüfungsfeld eingeben muss.

Verhindert werden soll dabei, dass automatische Programme die Felder ausfüllen und z.B. Werbung darüber versendet wird. 

Doch die Robot Programme werden immer intelligenter und können mittlerweile diese Captchas lesen, ausfüllen und berechnen.

Einfache Captchas werden also nicht mehr reichen. Abhilfe soll das reCaptcha System von Google bringen. Oft muss man deswegen unter einem Formular das Häkchen "Ich bin kein Roboter" setzen (reCaptcha v2). Kurz danach öffnet sich das dann ein Fenster mit mehreren Fotos, aus denen man dann z.B. alle ankreuzen soll, die ein Geschäft zeigen oder Fahrräder. Das System nervt jedoch und hält den Nutzer auf.

Google hat nun reCaptcha v3 eingeführt. Für den Nutzer ist kein Captcha mehr sichtbar. In der Seite selber wird ein JavaScript Code eingesetzt, der das Nutzerverhalten prüft. Das System vergibt dabei für jede Interaktion Punkte. Grundsätzlich geht man davon aus, dass ein Bot schnell zum Ziel kommen möchte und sofort die Felder des Formulars ausfüllt. Wenn also keine Punkte gesammelt werden, dann wird es sich mit hoher Wahrscheinlichkeit um ein Bot handeln.

Ob sich reCaptcha v3 durchsetzt ist fraglich. Denn die Bots könnten lernen, zunächst auf der Webseite / Shop mehrere Interaktionen durchzuführen, um so Punkte zu sammeln. Des Weiteren wird durch das JavaScript eine etwas höhere Ladezeit erwartet. Schlussendlich steht aber auch der Datenschutz im Raum. Da Nutzerverhalten analysiert wird und der Nutzer davon nichts mitbekommt, ist fraglich, ob ein Eintrag in der Datenschutzerklärung ausreicht.

Des Weiteren wird bei reCaptcha v2 und bei v3 mit Google Kontakt aufgenommen, auch das muss Datenschutzrechtlich beachtet werden.

Besser wäre ein sogenanntes "Hidden Captcha". Auch hier würde der Nutzer kein Captcha sehen. Im Formular befindet sich jedoch ein ausfüllbares Feld mehr, als offiziell sichtbar ist. Der Bot würde versuchen dieses auszufüllen, ein Nutzer könnte dieses nicht. Einige Content Management Systeme bieten entsprechende Plugins an. Da diese lokal agieren, kein Nutzerverhalten analysieren oder mit einem externen Dienst Kontakt aufnehmen, wäre das aktuell die beste Variante.

Wir sind eRecht24 Premium Partner

Um Ihre Internet Präsenz / Shop rechtlich auf den aktuellsten Stand

zu halten, sind wir eine Partnerschaft mit der Anwaltsplattform eRecht 24 eingegangen.

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok Ablehnen