Google will lästige Captcha-Abfragen überflüssig machen

Google hat mit „no CAPTCHA reCAPTCHA“ ein neues Sicherheitskonzept vorgestellt, dass effektiv vor Spam-Robotern und Skripten schützen soll und zugleich die Nutzung für den Anwender erleichtert. Statt eine kryptische Zeichenfolge einzugeben, muss er dazu nur noch einen einzigen Klick ausführen: Aktiviert er die Auswahlbox neben dem Hinweis „Ich bin kein Roboter“, erscheint nach kurzer Zeit ein grüner Haken.

Um sicherzustellen, dass es sich wirklich um einen menschlichen Nutzer und nicht um einen Spambot handelt, analysiert Google mit Hilfe einer neuen API mehrere Parameter. Dazu zählen die IP-Adresse, Cookies, die Mausbewegungen und die bisherige Aufenthaltsdauer auf der Site.

Durch den Abgleich dieser verschiedenen Merkmale sei es für eine Maschine sehr schwer, das System zu überlisten, heißt es von Google. Neben den genannten wertet das Unternehmen noch weitere Parameter aus, die es aber geheim hält, um Betreibern von Botnetzen nicht zu viele Einzelheiten zu verraten. Schließlich soll mit der Captcha-Technologie der Missbrauch durch Spambots oder andere Schädlinge eingedämmt werden.

Nutzer, die „noCAPTCHA reCAPTCHA“ nicht zweifelsfrei identifizieren kann, bekommen ein Pop-up-Fenster angezeigt, in dem wiederum Buchstaben- oder Zahlenfolgen einzugeben sind. Auf Mobilgeräten müssen Anwender hingegen Bilderrätsel lösen, womit Maschinen oft überfordert sind. Beispielsweise soll der Anwender aus neun Bildern, diejenigen auswählen, die dem vorgegebenen Motiv entsprechen.

Google begründet die Weiterentwicklung der Captcha-Abfrage zum einen mit dem gehobenen Komfort für den Anwender. Zum anderen aber auch damit, dass Hacker mit Hilfe von künstlicher Intelligenz inzwischen in der Lage seien, Captches mit einer Trefferquote von 99,8 Prozent zu lösen. Daher biete das bisher eingesetzte Verfahren mit verzerrter Buchstaben keinen adequaten Schutz mehr.

Aus diesem Grund begann Google schon im vergangenen Jahr damit, die eigenen Captchas um eine fortgeschrittene Risikoanalyse zu erweitern. Es analysiert die gesamte Interaktion eines Nutzers „vor, während und nach“ dem Lösen eines Captchas, um zu erkennen, ob es sich um einen Roboter handelt. Die aktuelle API sei nun ein weiterer Schritt, so Google. In ersten Tests habe man eine Trefferquote zwischen 60 und 80 Prozent erreicht. Zu den Anbietern, die die API bereits einsetzen, zählen WordPress, Snapchat und Humble Bundle.

Ein vergleichbares Verfahren wendet auch der Anbieter Scout Analytics mit dem „Admit One Security Sentry“ an. Dessen Zweifaktorauthentifizierung basiert auf einem Passwort und der Messung der Zeitabstände beim Betätigen der einzelnen Tasten während der Eingabe.

[mit Material von Martin Schindler, silicon.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de