CAPTCHA
Was ist CAPTCHA?
CAPTCHAChallenge-Response-Test, der Menschen von automatisierten Bots unterscheiden soll - typisch bei Registrierung, Login und Formularen.
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) prasentiert eine fur Menschen leichte, fur Software schwere Aufgabe: verzerrter Text, Bildauswahl, Audio oder unsichtbare Verhaltensanalyse. Moderne Dienste wie Google reCAPTCHA v3, hCaptcha und Cloudflare Turnstile vergeben pro Anfrage einen Risiko-Score auf Basis von Browser-Signalen, IP-Reputation und Interaktionsmustern. CAPTCHAs reduzieren Credential Stuffing, Scraping, Fake-Account-Erstellung und Kommentar-Spam, sind aber keine Authentifizierung und werden im grossen Stil von ML oder bezahlten Solver-Farmen geknackt. Sie haben Accessibility- und Datenschutzprobleme - daher nur als eine Schicht neben Rate-Limiting, MFA, Bot-Management und Behavioural Analytics einsetzen.
● Beispiele
- 01
reCAPTCHA v3 liefert pro Request einen Risiko-Score zwischen 0.0 und 1.0.
- 02
Cloudflare-Turnstile-Widget in einem Login-Formular.
● Häufige Fragen
Was ist CAPTCHA?
Challenge-Response-Test, der Menschen von automatisierten Bots unterscheiden soll - typisch bei Registrierung, Login und Formularen. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet CAPTCHA?
Challenge-Response-Test, der Menschen von automatisierten Bots unterscheiden soll - typisch bei Registrierung, Login und Formularen.
Wie funktioniert CAPTCHA?
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) prasentiert eine fur Menschen leichte, fur Software schwere Aufgabe: verzerrter Text, Bildauswahl, Audio oder unsichtbare Verhaltensanalyse. Moderne Dienste wie Google reCAPTCHA v3, hCaptcha und Cloudflare Turnstile vergeben pro Anfrage einen Risiko-Score auf Basis von Browser-Signalen, IP-Reputation und Interaktionsmustern. CAPTCHAs reduzieren Credential Stuffing, Scraping, Fake-Account-Erstellung und Kommentar-Spam, sind aber keine Authentifizierung und werden im grossen Stil von ML oder bezahlten Solver-Farmen geknackt. Sie haben Accessibility- und Datenschutzprobleme - daher nur als eine Schicht neben Rate-Limiting, MFA, Bot-Management und Behavioural Analytics einsetzen.
Wie schützt man sich gegen CAPTCHA?
Schutzmaßnahmen gegen CAPTCHA kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- attacks№ 232
Credential Stuffing
Automatisierter Angriff, der riesige Listen aus geleakten Benutzer/Passwort-Paaren gegen andere Dienste abspielt und Passwort-Wiederverwendung ausnutzt, um Accounts zu übernehmen.
- attacks№ 130
Brute-Force-Angriff
Angriff, der systematisch jeden möglichen Wert – typischerweise Passwörter, PINs oder Schlüssel – ausprobiert, bis der richtige gefunden ist.
- network-security№ 118
Bot-Management
Bot-Management erkennt automatisierten Traffic und unterscheidet gute von boesartigen Bots, um sie entsprechend zuzulassen, herauszufordern oder zu blockieren.
- network-security№ 904
Rate Limiting
Rate Limiting begrenzt die Anzahl von Anfragen, die ein Identifier (IP, User, API-Key oder Token) in einem Zeitfenster stellen darf, und schuetzt APIs und Apps vor Missbrauch, Scraping und Brute-Force.
- network-security№ 1227
Web Application Firewall (WAF)
Ein Reverse-Proxy-Filter, der HTTP/HTTPS-Verkehr inspiziert, um Web-Angriffe wie SQL-Injection, XSS und Bot-Missbrauch zu blockieren, bevor sie die Anwendung erreichen.
- attacks№ 010
Konto-Uebernahme (ATO)
Angriff, bei dem ein Krimineller unautorisierte Kontrolle ueber ein legitimes Nutzerkonto erlangt, um Geld, Daten zu entwenden oder weiteren Betrug zu begehen.