High-Friction & Low Friction CAPTCHA
Welche Arten von CAPTCHA gibt es?
Heute werden vor allem zwei Hauptformen von CAPTCHAs unterschieden:
- High-Friction CAPTCHA
- Low-Friction CAPTCHA
Wenn der Benutzer aktiv eine Aufgabe ausführen muss, wird aufgrund der reibungsstarken Verifizierungsmethoden von einem High-Friction CAPTCHA gesprochen.
Läuft die Überprüfung im Hintergrund und der Nutzer ist nicht angehalten eine Aufgabe zu meistern, um zu beweisen, dass er ein Mensch ist, dann bezeichnet man dies als Low-Friction CAPTCHA.
Der Begriff reibungsstarke Verifizierungsmethode zielt vor allem auf die Tatsache ab, dass die zu absolvierende Prüfung für den Nutzer direkt keinen Mehrwert darstellt. Sie ist eine Hürde, die vor allem Zeit kostet bis er sein eigentliches Ziel erreichen kann.
Beispiele für High-Friction CAPTCHA
| Art des CAPTCHA | Beispiel für die Aufgabe | Anbieter |
|---|---|---|
| Textbasierte CAPTCHA | Schriftzeichenerkennung | Captcha.guru, CaptChair, Text Disguise, RainCaptcha, MTCaptcha |
| Bilderbasierte CAPTCHA | Bildbeschriftungsaufgabe | Confident CAPTCHA, PhotoCaptcha, 2Captcha API, WebAppz, hCaptcha, ReCaptcha |
| Audiobasierte CAPTCHA | Eingabe von gehörten Buchstaben | Datadome, Seznam Captcha |
| Mathematische oder Wort-basiert CAPTCHA | Lösen von Rechenaufgaben, Beantworten von Fragen, Vervollständigen von Sätzen | VersCaptcha API |
| Spielbasierte CAPTCHA | Zusammensetzen eines Puzzleteils zu einem Apfelbild, bei dem das Teil fehlt, Rotieren eines Bildes | KeyCaptcha API, VouchSafe API, GeeTest CAPTCHA, Rotate Captcha |
| Social Media-basierte CAPTCHA | Sign-in via Google, LinkedIn, Facebook usw, Single-Sign-On-Funktionalität (SSO) | |
| Bezahlbasierte CAPTCHA | Bezahlung mittels Cryptowährung | Captcha Coin API |
| Telefonbasierte CAPTCHA | Zusendung eines Codes | Ringcaptcha |
| Werbebasierte CAPTCHA | Eingabe eines Textes | Solve Media, Ericsson Captcha |
Was ist ein Low-Friction CAPTCHA?
In Anbetracht der steigenden Kritik an herkömmlichen CAPTCHAs werden zunehmend für Nutzer freundlichere CAPTCHA-Lösungen entwickelt und bereitgestellt. Zum Teil handelt es sich hierbei auch um Methoden, die schon länger bekannt sind, jedoch in Kombination zum Schutz gegen Bots beitragen.
Beispiele für Low-Friction CAPTCHA - reibungslose Verifizierung
Reibungslose Verifizierungsverfahren sind im besten Fall für echte Menschen unsichtbar bzw. nicht wahrnehmbar, während es für Bots schwierig ist, diese Überprüfung zu bestehen.
- Nutzeraktivitäten
- Proof of Work
- Spam Honeypots
- Lockout Time / Zeitsperren
- IP White List / Blacklisting IPs
Nutzeraktivitäten
Hierbei wird die Bewegung des Nutzers auf der Webseite verfolgt und analysiert. Dabei wird versucht zu erkennen, ob die Klicks und andere Nutzeraktivitäten auf der Webseite einem menschlichen Verhalten entsprechen oder man dies eher einem Bot zuordnen würde.
Proof of Work
Proof of Work sind eine oder mehrere Rechenaufgaben, die vom Client-Browser im Hintergrund gelöst werden müssen, sodass die CAPTCHA-Prüfung positiv absolviert wird. Meist wird diese Prüfung vom Nutzer nicht wahrgenommen, da er zur gleichen Zeit mit seiner eigentlichen Aufgabe wie beispielsweise das Ausfüllen eines Registrierungsformulars, das Verfassen einer Nachricht etc., beschäftigt ist. Dieser Arbeitsnachweis kostet Rechenleistung und Zeit und macht dadurch den auf Effizienz getrimmten Botaktivitäten einen Strich durch die Rechnung.
Spam Honeypots
Hierbei handelt sich um eine Fall für einfache Bots. Es werden für den Webbenutzer unsichtbare Formfelder eingebaut, wodurch diese von echten Menschen nicht ausgefüllt werden. Im Gegensatz dazu lockt man Bots, die darauf programmiert sind alle Felder eines Formulars auszufüllen, auch diese unsichtbaren Eingabefelder auszufüllen. Damit verraten sich die Bots und das Absenden der Daten wird verhindert.
Lockout Time / Zeitsperren
Bots können x-fach schneller Formulare ausfüllen als Menschen. Um möglichst viele Spamnachrichten abzusetzen zu können, werden diese Bots auch dementsprechend optimiert. Um dieses Wirken zu behindern, können Zeitsperrren eingesetzt werden. Sollte ein Bot schneller als die festgelegte Zeitblockade eine oder mehrere Anfragen an den Webserver bzw. Applikation schicken, wird der Bot erkannt und die Datenannahme wird abgelehnt. Menschliche Nutzer der Webseite bekommen diese Zeitsperren meist nicht mit, da sie ohnehin länger für die Eingabe benötigen. Die Nutzung eines Timers für Komplettierung eines Formulars kann eine nützliche Zusatzmaßnahme neben anderen Anti-Bot-Abwehrmethoden sein.
IP White List / Blacklisting IPs
Bei IP White List ist das Captcha für Benutzer, die von Internet-IP-Adressen kommen, die einer definierten IP-Whitelist entsprechen, völlig unsichtbar. Die gegensätzliche Form - Blacklisting IPs - ist das Erstellen von schwarzen Listen für IPs. Hierbei werden IPs aus bestimmten geographischen Regionen ausgeschlossen oder Anfragen aus diesen Regionen werden stark gedrosselt bzw. limitiert.
Bildernachweis
| Image | Copyright | Autor |
| ###IMAGE### | ###COPYRIGHT### | ###AUTHOR### |