Was zunächst wie ein sehr einfallsreicher Name klingt, steht für: Completely Automated Public Turing test to tell Computers and Humans Apart, auch bekannt als Challenge-Response-Authentifizierung oder Human Interaction Proof (HIP).
CAPTCHAs sind Sicherheitsmechanismen zum Schutz vor Spam und von Passwörtern. Mittels kleinen Tests wird versucht, Mensch von Maschine zu unterscheiden.
Turing Test
CAPTCHA trägt den Turing Test im Namen, doch was genau steckt dahinter? Der Test hat seinen Ursprung in den 1950ern und taucht erstmals in einem Forschungsbericht des damals an der Universität Manchester lehrenden Informatikers Alan Turing auf. In Computing Machinery and Intelligence beschreibt Turing skizzenhaft einen potenziellen Test, um herauszufinden, ob eine Maschine menschliches Denkvermögen aufweist. Hierfür modifizierte er das bekannte Prinzip des Imitation Game: Eine Testperson führt in einem Chat, ohne Sicht- und Hörkontakt, eine Unterhaltung mit zwei ihm unbekannten Gesprächspartnern. Einer davon ist ein Mensch und der andere eine Maschine. Die Testperson muss nun herausfinden, welche der Gesprächspartner die Maschine ist. Gelingt es dem Tester nicht, hat die Maschine den Test bestanden. Das Verfahren wurde jedoch erst nach Alan Turings Tod nach ihm benannt und mit der Weiterentwicklung künstlicher Intelligenz konkreter ausformuliert.
reCAPTCHA
CAPTCHAs existieren heute in verschiedenen Formen und Varianten. Die wohl bekannteste sind die verschwommenen Buchstaben- und Zahlenfolgen, die der Nutzer fehlerfrei abtippen muss – und das bereits seit über 20 Jahren. Bei diesem Verfahren wird der Spieß umgedreht, hier versuchen Menschen die Maschine davon zu überzeugen, dass sie keine Maschinen sind. Eine Studie der Carnegie Mellon Universität in Pittsburgh fand heraus, dass Menschen im Jahr 2000 täglich 150.000 Stunden damit zubrachten, diese Rätsel zu lösen. Der Informatiker Louis von Ahn hatte die Idee, die Nutzer etwas sinnvolles entziffern zu lassen. Er schlug vor, ihnen eingescannte Wörter zu präsentieren, die die Texterkennungssoftware nicht auswerten konnte und so die Digitalisierung von Büchern und Zeitschriften voran zu bringen. Von Ahn nannte seine Entwicklung reCAPTCHA und gründete 2007 das gleichnamige Unternehmen.
Heute ist reCAPTCHA ein Dienst von Google und das wohl bekannteste CAPTCHA-Verfahren. Die Tests können in Form der bereits bekannten Texträtsel auftauchen oder, wie es bei der Weiterentwicklung NoCAPTCHA reCAPTCHA der Fall ist, lediglich aus einer klickbaren Checkbox bestehen. Hierbei prüft das System Parameter der Nutzer und zieht zur Bewertung zudem bereits gesammelte Daten mit ein. Kann der Nutzer jedoch nicht eindeutig als Mensch identifiziert werden, wird ihm ein Test in Form eines Text- oder Bilderrätsels angeboten. Um die Barrierefreiheit zu gewährleisten, bietet Google mit reCAPTCHA auch die Alternative eines audiobasierten Tests an.
Weiterhin gibt es verschiedene mathematische und auf Logik basierende Tests. Hierbei muss meist eine einfache Rechenaufgabe gelöst werden. Auch sogenannte Gamification-CAPTCHAs stelle eine Möglichkeit dar, den Test zu gestalten. Es sind meist kleine Drag & Drop Aufgaben und Puzzles.
Doch egal was für eine Art von Test vorliegt - es steht immer eine Problematik im Vordergrund: Wie können Bots und automatisierte maschinelle Instanzen daran gehindert werden, auf bestimmte Inhalte zuzugreifen, der Zugang für Menschen aber nutzerfreundlich und barrierefrei bleibt. Während Administratoren mittels CAPTCHA-Tests Arbeit abgenommen wird, da die Nutzer sich aktiv als Mensch identifizieren müssen, gibt es auch nutzerfreundliche Alternativen, die der Nutzer meist gar nicht zu sehen bekomt.
Honeypot
Honeypots finden speziell bei Website-Formularen Anwendung. Hierbei wird ein für menschliche Nutzer nicht sichtbares Feld mit der Aufforderung der Eingabe beispielsweise einer URL oder eines Betreffs eingebunden. Fast alle Spambots fallen auf diese Attrappe herein und werden unterbunden, denn das Formular kann nur abgeschickt werden, wenn dieses Honeypot-Feld leer ist.
Black-List & Content-Filter
Es gibt zudem die Möglichkeit, allgemein komplette IP Adressen oder Server zu sperren. Auch auf inhaltlicher Ebene kann gefiltert werden. Mit der Definition von Keywords, auch „Hot Words“ genannt, werden alle Einträge mit diesen gesperrt.
Während CAPTCHAs teilweise auch Menschen an ihre Grenzen bringt, die Barrierefreiheit oft nicht gegeben ist und mit Googles NoCAPTCHA reCAPTCHA Datenschutzbedenken im Raum stehen, sind diese dennoch weit verbreitet. Doch die Test und Methoden zur Spam-Bekämpfung müssen stetig weiterentwickelt werden. Es tut sich viel in Sachen Maschine Learning und so werden auch Spambots stetig weiterentwickelt.
Fun Fact am Rande – die Herkunft des Wortes SPAM
Spam ist ursprünglich der Eigenname eines Dosenfleischs. „Spiced Ham“ war während des zweiten Weltkrieges das Lebensmittel, das trotz Rationierung in Großbritannien so gut wie immer zu haben war. Die britische Comedygruppe Monty Python griff dies auf und produzierte 1970 einen Sketch. Darin wird das Wort Spam unnötig und irritierend oft erwähnt – ähnlich wie die unerwünschten Botschaften.
Quellen
https://support.google.com/a/answer/1217728?hl=de
https://de.ryte.com/wiki/reCAPTCHA
https://www.eology.de/wiki/captcha
https://mehrwert-muenchen.de/2021/05/spam-managen/
https://www.techtarget.com/searchenterpriseai/definition/Turing-test