Nachdem das Bundesamt für Sicherheit in der Informationstechnik auf Mastodon vor Fake-Captcha gewarnt hat, sind die lästigen Dinger überall Thema. Jeder ist bereits mit verschiedenen Captcha, meist von Google, in Berührung gekommen – denn Captchas müssen eingebunden werden, um Websites vor automatisierten Angriffen oder Spam zu schützen. Es gibt sie von verschiedenen Anbietern wie hCaptcha und MTCaptcha.
Benedict Padberg ist Mitgründer von Friendly Captcha.
(Bild: Friendly Captcha)
Warum Captcha nicht gleich Captcha ist, erklärt Benedict Padberg Mitgründer des Cybersecurity-Anbieters "Friendly Captcha" aus Wörthsee bei München. Das Unternehmen hat sich zum Ziel gesetzt, Bilder-Captcha-Aufgaben durch nutzerfreundliche Captchas zu ersetzen. Zu Kunden gehören unter anderem die Europäische Union, die Bundesliga und Zalando.
heise online: Was ist ein Captcha und warum ist Captcha nicht gleich Captcha?
Padberg: Captchas sind enorm wichtig für ein sicheres Internet und auch deshalb weltweit auf jeder Webseite und App omnipräsent, weil sie einen essenziell notwendigen Cybersecurity-Schutz vor Bots und Hackern liefern. Ein Captcha beschreibt somit einen Anti-Roboter-Test. Wie dieser Test konkret funktioniert und aussieht, ist hoch unterschiedlich.
Leider gibt es noch zu viele Bilder-Tests, bei denen Nutzer umständlich Objekte wie Ampeln, Autos oder Zebrastreifen markieren müssen. Das wird häufig mit dem Begriff Captcha in Verbindung gebracht und eröffnet die Sicherheitslücke von Fake Captchas.
Das darf so nicht bleiben. Es braucht moderne, sichere Captchas. Mittlerweile gibt es vollständig unsichtbare Captcha-Tests, die das nervenaufreibende Bilderrätseln und sonstige Nutzeraufgaben vollständig ersetzen.
Wie sieht ein Fake-Captcha aus?
Fake Captchas basieren zumeist auf dem Design von Googles Captcha-Dienst, der Websites vor Robotern schützen soll. Sie werden häufig über Online-Werbebanner in Webseiten integriert und imitieren manuelle Captcha-Nutzeraufgaben.
Fake-Captcha mit einer Ausführungsaufforderung an den Nutzer.
(Bild: Padberg)
Googles reguläres Captcha fordert Nutzer dazu auf, Bilder von Ampeln anzuklicken. Fake Captchas hingegen fordern Nutzer dazu auf, krude Tastenkombinationen zu drücken und einen Programmcode in die Windows-Kommandozeile einzugeben.
Was können Captcha-Hersteller tun?
Eine Menge. Traditionelle Bilder-Captchas werden zunehmend unsicherer und nerven. Ebendarum haben wir 2020 mit Friendly Captcha ein modernes Captcha entwickelt, das keinerlei Nutzeraufgaben mehr erfordert. Anstelle den Nutzer mit Bilderaufgaben zu überfordern, überprüft Friendly Captcha das Gerät des Nutzers unsichtbar im Hintergrund. Captcha-Hersteller können also moderne, aufgabenfreie Captchas entwickeln.
Traditionelle Bilder-Captchas sollten schnellstmöglich durch moderne, unsichtbare Captchas ersetzt werden. Das macht das Internet nicht nur weniger nervig, sondern auch sicherer, weil damit Fake-Captchas nicht mehr möglich sind. Denn ein modernes Captcha erfordert keinerlei Nutzerinteraktion mehr.
Wie unterscheidet sich Ihr Captcha von den anderen?
Friendly Captcha verfolgt einen grundlegend neuen, barrierefreien und datenschutzfreundlichen Ansatz, um Web-Interaktion sicher gegen Bots zu schützen. Gleichzeitig speichert Friendly Captcha keine personenbezogenen Daten, wodurch die Privatsphäre der Nutzer effektiv geschützt und die Einhaltung gesetzlicher Rahmenbedingungen wie der DSGVO gewährleistet wird.
Wir verwenden einen neuartigen Proof-of-Work-Mechanismus, so dass die Benutzer keine manuellen Aufgaben mehr durchführen müssen. Dieser Mechanismus basiert in unserem Fall auf einem kryptografischen Rätsel. Dieses Rätsel wird vom Gerät des Benutzers im Hintergrund gelöst, während der Benutzer ein Webformular ausfüllt. Die Komplexität des Rätsels wird dynamisch angepasst, basierend auf einer Risikobewertung durch fortgeschrittene Risikosignale.
Worauf sollten User achten?
Bei traditionellen Bilder-Captchas ist Aufmerksamkeit geboten. Wenn Sie aufgefordert werden, Tastenkombinationen einzugeben, sollten Sie sofort den Webseiten-Betreiber darüber informieren. Webseiten-Betreiber sollten dann umgehend die Schwachstelle eliminieren und ihr traditionelles Captcha durch ein modernes Captcha ersetzen, das keine Nutzerinteraktion mehr erfordert.
(
Kommentare