Alternativen zu Captchas: Honeypot, Blacklist und mehr
Im Internet sind sie noch immer weit verbreitet: Captchas. Das sind die oftmals kniffligen Aufgaben am Ende eines Formulars. Hierbei gilt es kleinste, unlesbare Buchstaben zu erkennen oder mathematische Aufgaben zu lösen. Sind Sie daran auch schon gescheitert? Oder haben Sie sich vertippt, weil Sie gerade mit dem Smartphone unterwegs waren?
Im schlimmsten Fall müssen alle Daten erneut eingegeben werden. Spiegel online errechnete 2012, dass das Lösen von Captchas 17 Mannjahre pro Tag an Zeit verschluckt. Folglich sind die Nutzer frustriert, wenn Sie einen Captcha sehen. Das kann so weit gehen, dass Nutzer die Formulare Ihrer Internetseite nicht nutzen können oder gar wollen. Aufgrund dessen zeigen wir Ihnen in diesem Artikel die Alternativen zu den Captchas auf, welche bei uns zum Einsatz kommen.
Captchas und ihre Tücken
Captcha steht für: „Completely Automated Public Turing test to tell Computers and Humans Apart“. Frei übersetzt bedeutet dies: „vollautomatischer öffentlicher Turing-Test um Computer und Menschen zu unterscheiden“. Der Kampf zwischen Mensch und Maschine ist somit eröffnet.
Captchas sollen verhindern, dass Formulare von sogenannten Robots ausgefüllt werden. Robots sind Programme, die Formulare auf einer Webseite aufspüren und sie mit unerwünschten Inhalten befüllen. Captchas gelten als eine weiteverbreitet Methode um Robots zu erkennen. Jedoch liegen die Nachteile von Captchas auf der Hand.
- Bei der Eingabe kann sich leicht vertippt werden oder die Aufgabe erscheint als unlösbar. Die Frustration der Nutzer ist vorprogrammiert.
- Die Barrierefreiheit ist oftmals nicht gewährleistet. Sehbehinderten Personen wird der Zugang zur Webseite erschwert. Dasselbe gilt für Nutzer von textbasierten Browsern. Selbst wenn es Alternativen zu den bildlichen Darstellungen gibt.
- Eine 100% Sicherheit ist auch mit Captchas nicht gewährleistet. Es gibt verschieden Software, um die Captchas zu lösen. Zum Beispiel die Chrome-Erweiterung Rumola
Eine neue Form des Captchas ist der unsichtbare Captcha von Google. Dieser befindet sich derzeit in der Beta-Phase. Zwei Jahre zuvor wurde von Google das noCAPTCHA-Verfahren eingeführt. Als Beispiel folgt das offizielle Video von Google dazu.
Dieses Video wird über eine externe Plattform (YouTube) gehostet. Das Laden bedarf der Zustimmung unserer Datenschutzbestimmungen.
Das Ziel ist, die Nachteile von den bisherigen Methoden zu eliminieren und trotzdem einen sicheren Spamschutz zu bieten. Mit dem unsichtbaren Captcha soll auch der letzte Interaktionsschritt wegfallen, in diesem Fall das Anklicken der Checkbox. Allerdings existieren bereits Methoden, welche die Nutzererfahrung nicht negativ beeinflussen.
Honeypots als Alternative
Ein Honeypot (dt: „Honigtopf“) ist ein für den Nutzern nicht sichtbares Formularfeld. Es stellt eine Falle für die Robots dar. Diese füllen in der Regel alle Formularfelder aus. Sie können nicht erkennen, dass das Honeypot-Feld für den Nutzer nicht sichtbar ist. Folglich wird es von Robots mit ausgefüllt. Der Nutzer hingegen sieht das Feld ja nicht und lässt es leer. Somit kann der übertragene Inhalt von der Webseite leicht als Spam erkannt.
In der Praxis sieht das so aus, wie im Screenshot dargestellt. Wir haben das Honeypot-Feld hier sichtbar gemacht. Doch schauen Sie auf unser Kontaktformular. Sehen Sie das Feld?
Eine simple, aber durchaus wirkungsvolle Methode. Der Nutzer wird nicht beeinträchtigt und trotzdem wird der Spam als solcher erkannt. Häufig ist das nicht die einzige Technik, welche als Absicherung von Formularen zum Einsatz kommt.
Spam in Formularen verhindern
Powermail ist eine TYPO3-Erweiterung, welche zum Erstellen von Formularen gern genutzt wird. Neben der Honeypot-Methode werden hier die folgenden Ansätze genutzt, um Spam zu erkennen. Schlägt eine Methode Alarm, heißt es noch nicht, dass der Inhalt sofort blockiert wird. Alle Methoden sind einer Art Punktesystem zugeordnet. Je nach Aussagekraft ist die Punkteanzahl höher oder niedriger. Wird ein gewisser Schwellenwert überschritten, wird der Formularinhalt als Spam eingestuft.
Überprüfung auf externe Links
Spam-Inhalte enthalten teilweise Links zu dubiosen Seiten. Die Anzahl der externen Links wird überprüft.
Überprüfung der Namenfelder
Hier wird überprüft, ob der Vorname dem Nachnamen gleicht. Kennen Sie Personen bei denen das zutrifft?
Session Validierung
Diese Methode schlägt fehl, wenn der Nutzer die Webseite nicht aufgerufen hat. Dementsprechend, wenn nur eine URL aufgerufen wurde, welche zum Absenden des Formulars führt.
Dopplungen aufdecken
Beinhalten Felder denselben Text wird dies erkannt. Der Verdacht liegt nahe, dass das Formular nicht ordentlich ausgefüllt wurde.
Blacklists
Sogenannte schwarze Liste können im System hinterlegt werden. Einerseits sind auf den Listen Wörter gepflegt, z.B. sex oder porn. Andererseits können IP-Adressen ausgeschlossen werden.
Sind Captchas notwendig?
Wir als clickstorm GmbH haben bisher gute Erfahrungen mit den Alternativen gemacht. Dementsprechend raten wir generell von der Nutzung von Captchas ab, um eine optimale User Experience zu gewährleisten. Sollte wiedererwartend festgestellt werden, dass Sie mit Spam überhäuft werden, kann die Captcha-Methode auch nachgerüstet werden. Neben der Vermeidung von Spam ist die sichere Übertragung der Daten ein wichtiges Thema bei Formularen.
Teilen Sie uns gerne Ihre Erfahrungen mit Captchas mit und hinterlassen Sie einen Kommentar. Haben Sie weitere Fragen zur Sicherheit von Formularen, dann zögern Sie nicht uns zu kontaktieren.
Kommentar von Alex Kellner
Danke für die Zusammenfassung. Wer nicht warten will, bis Google das unsichtbare Recaptcha veröffentlicht hat, kann auch das sichtbare Recaptcha mit der Extension Powermail nutzen: https://github.com/einpraegsam/powermailrecaptcha
Kommentar von Marc
Wir haben zu danken für die Entwicklung von powermail und powermailrecaptcha 🙂