Ist es ein Mensch, der hier klickt, oder eine Maschine? Pro Tag müssen Internetnutzer insgesamt mehr als 200 Millionen Mal Buchstaben und Ziffern abtippen, die auf kleinen Bildern verzerrt dargestellt sind.
Oft auch noch mit verwirrenden Hintergründen und Linien versehen, sollen diese sogenannten Captchas verhindern, dass Computerprogramme etwa automatisch E-Mail-Postfächer anlegen oder in Sozialen Netzwerken unerwünschte Werbung verbreiten. Doch wie jetzt ein Team der Stanford University erneut gezeigt hat, bieten die meisten dieser Captchas nur unzureichend Schutz.
Den Computerexperten Elie Bursztein, Matthieu Martin und John Mitchell gelang es mit Hilfe einer selbst geschriebenen Software, die Captcha-Sperren bei 13 von 15 populären Internetangeboten automatisiert zu überwinden, darunter die des Online-Lexikons Wikipedia oder der Auktionsplattform Ebay.
Wie sich zeigte, machen es viele der Captchas den Erkennungssystemen zu einfach. Bei einigen war zum Beispiel die Anzahl der Buchstaben oder Ziffern stets gleich. "Damit gibt man dem Angreifer zu viel Information", warnen die Autoren. Das Gleiche gilt, wenn die Größe der Buchstaben und Ziffern nicht variiert.
Unterschiedliche Schriftarten helfen
Die Stanford-Experten empfehlen, unterschiedliche Schriftarten und -größen zu verwenden und die Schrift zusätzlich zu verzerren. Damit steigere man die Schwierigkeit für automatisierte Systeme, die Grenzen zwischen den einzelnen Buchstaben und Ziffern zu erkennen.
Um diese Grenzen weiter zu verwischen, sollten die Buchstaben und Ziffern auch so angeordnet sein, dass sie aneinanderstoßen. Und für den Fall der Fälle sollten die Betreiber von Webseiten stets ein alternatives Verfahren zur Erzeugung von Captchas bereithalten.
Dies, so schreiben die Autoren, scheine das Erfolgsgeheimnis von Recaptcha zu sein, einer Firma, die Captcha-Dienste anbietet. Diese wechsle immer wieder einmal das Erzeugungsverfahren durch.
Mit den Bilderrätseln von Google waren die von Recaptcha die einzigen beiden in den Top 15 der durch Captchas gesicherten Internet-Angebote, bei denen die Forscher der Stanford University mit ihrer Software nicht weiterkamen.