Bist du kein Roboter? Um diese Frage zu beantworten, sollst du meistens ein Häkchen anklicken und bestenfalls noch ein lästiges Rätsel lösen. Herzlichen Glückwunsch, du hast das CAPTCHA gelöst! Warum es diese Sicherheitsabfragen braucht, und wie sie funktionieren, erfährst du in diesem Artikel.

CAPTCHA ist Kult

Und das ist keine Übertreibung, denn die kleinen Tests haben schon so manche graue Gehirnzelle abstumpfen lassen. Sicherlich kennst du auch die Abfrage, um deine menschliche Identität zu bestätigen.

CAPTCHA ist dabei eine Abkürzung und steht für „Completely Automated Public Turing test to tell Computers and Humans Apart“. Grob übersetzt heißt es also, dass du einen Test absolvierst, der dem Computer zeigt, dass du kein Roboter bist. Daher spricht man bei einer solchen Anwendung auch von einer Challenge-Response-Authentifizierung.

Tests mit Kultstatus

Dabei soll der Sicherheitsmechanismus User*innen vor allem vor Spam und ungewollter Passwortentschlüsselung schützen. Die Tests sollen dabei sicherstellen, dass kein Bot versucht ein Passwort-gestütztes Portal zu knacken.

Dabei haben Aufgaben wie die Bilderrätsel bereits einen Kultstatus erreicht. So müssen Nutzer*innen etwa in einer Ansammlung von Verkehrsbildern immer die raussuchen, die etwa Autos zeigen. Nicht selten kommt es dabei vor, dass dich Googles Bilderrätsel als Bot überführt.

Ein weiterer Klassiker sind die Buchstabentests. Dabei sollen User*innen ihre menschliche Identität dadurch bestätigen, dass sie verzerrte und teils durchgestrichene Buchstabenfolgen in einem Fenster eingeben. Dabei spielt der CAPTCHA-Modus mit unserer visuellen Wahrnehmung, etwa in dem Klein- und Großschreibung beinahe kaum auseinanderzuhalten sind. Auch dieser Test sorgt oft für Frustpotential.

Darum verwendet Google die Captchas

Auf seiner Support-Seite verweist Google darauf, User*innen mit einem Google-Konto vor ungewollten „Fremdzugriffen“ zu schützen, die von Bots ausgehen könnten. Demnach schütze die spielerische Sicherheitsabfrage nicht vor einem menschlichen Zugriff, sei aber dafür ausgelegt, dass Computer Schwierigkeiten haben einen solchen Test zu bestehen.

Außerdem ersetzt ein Bild- oder Worträtsel nicht die herkömmliche Anmeldung. Ein CAPTCHA kommt immer erst nach einem erfolgten Login zum Einsatz. Die herkömmliche Anmeldung muss also zwingend erfolgen. Username und Passwort sind also weiterhin nötig.

Googles hauseigene Authentifizierungsabfrage kommt dabei nicht überall zum Einsatz, sondern vor allem bei den Diensten des Entwicklers. Das betrifft:

• Erstanmeldungen auf Plattformen wie Gmail, YouTube und Blogger
• Registrierungen bei Workspace-Konten von Google
• Passwortänderungen
• Anmeldungen von Google-Diensten auf Drittgeräten

CAPTCHA: Wirklich gut geschützt?

Zugegeben, ein CAPTCHA schützt vermutlich nur unzureichend vor einem Hacker, kann jedoch die Gefahr eines Einbruchs durch Bots minimieren. Außerdem ist Google stets daran interessiert, seine plattforminternen Sicherheitsmaßnahmen an neue Gegebenheiten anzupassen.

Dabei kommt es jedoch auch zu umstrittenen Neuerungen. So überwacht dich Googles reCAPTCHA ständig, um von deiner Menschlichkeit überzeugt zu sein. In einem für Nutzer*innen nicht einsehbaren Score-System kann Google bewerten, ob du auf eine Plattform zugreifen kannst oder nicht. Solche versteckten Sicherheitsmechanismen haben nichts mehr mit den händischen Rätseln zu tun, in denen noch die richtigen Puzzleteile gesucht werden mussten.

Quelle: Google Support