Google: reCAPTCHA v3 verzichtet komplett auf lästige Abfragen

Aljoscha Reineking 112 Kommentare
Google: reCAPTCHA v3 verzichtet komplett auf lästige Abfragen
Bild: Google

Betreiber von Webseiten, die sichergehen wollen, dass Aktionen von echten Nutzern und nicht von Bots ausgeführt werden, können auf die Technologie der Google-Tochter reCAPTCHA zurückgreifen. Ohne Interaktion des Anwenders funktionierte das System bisher aber nicht. reCAPTCHA v3 kommt jetzt erstmals ohne Abfrage aus.

reCAPTCHA-Score ersetzt die alten Abfragen

Das neue reCAPTCHA v3 unterscheidet sich grundlegend von reCAPTCHA v2 (und v1). Bei reCAPTCHA v2 wurde auf visuelle Eindrücke und Abfragen zurückgegriffen, um die Authentizität einer natürlichen Person festzustellen. Dabei wurde die Abfrage solange wiederholt, bis die Eingabe von einem Bot ausgeschlossen werden konnte.

Seit Anfang 2017 gab es zwar auch eine unsichtbare Variante dieser Technologie, bei der Anwender in einem ersten Schritt nur noch bestätigen mussten, dass sie kein Bot sind. Ohne diese Abfrage kam das System aber immer noch nicht aus. Und war sich reCAPTCHA v2 aufgrund der im Hintergrund erhobenen Daten zum Anwender nicht sicher, ob nicht doch ein Bot dahinter steckt, wurde die lästige Bilderrätselabfrage doch eingeblendet.

reCAPTCHA v1: Texterkennung
reCAPTCHA v1: Texterkennung (Bild: Google)
reCAPTCHA v2: Bilderrätsel
reCAPTCHA v2: Bilderrätsel (Bild: Google)

Bei reCAPTCHA v3 schafft Google jetzt hingegen alle Elemente, die den Nutzer in seinem Besuch auf der Webseite unterbrechen, ab. Im Hintergrund erhobene Daten zum System des Anwenders und dessen Verhalten (Bewegung des Cursors, Abfolge der besuchten Seiten auf der Webseite etc.) werden stattdessen zur Berechnung eines einzigen Messwertes herangezogen, dem sogenannten reCAPTCHA-Score. Er repräsentiert die Wahrscheinlichkeit eines Zugriffs durch einen Bot. Besucher der Webseite bekommen davon nichts mehr mit.

Anhand des reCAPTCHA-Scores können Betreiber der Webseite dann wiederum entscheiden, wie sie mit dem Besucher verfahren. Ein Wert von 0,0 steht mit an Sicherheit grenzender Wahrscheinlichkeit für einen Bot, der Wert von 1,0 mit an Sicherheit grenzender Wahrscheinlichkeit für eine natürliche Person. Den Schwellwert legt Google mit 0,5 fest, er kann aber angepasst werden.

Betreiber von Webseiten in der Verantwortung

Damit die hinter reCAPTCHA v3 stehende Risikoanalyse genügend Daten sammeln kann, empfiehlt Google die Technik auf mehreren Seiten einer Webseite einzubinden und nicht nur auf der Seite, die geschützt werden soll – zum Beispiel der Login-Seite. Gleichzeitig sollen Betreiber die „adaptive Risikoanalysemaschine“ trainieren. Zu diesem Zweck soll reCAPTCHA ein natürliches Muster der Webseitenbedienung vorgegeben werden um Bots noch frühzeitiger zu erkennen. Bei der Technik von reCAPTCHA v3 setzt Google auf ein maschinelles Lernkonzept.

Mit der reCAPTCHA-Verwaltungskonsole sollen sich die kompletten Punkteverteilungen der erhobenen Scores und Aktionen der Nutzer anzeigen lassen. Zu diesem Zweck erstellt reCAPTCHA Benutzerprofile und Transaktionshistorien. Verdächtige Aktionen auf der Website sollen sich sowohl beim Traffic als auch bei den Aktionen zu erkennen geben. Die Daten sollen es den Betreibern erleichtern, den für sie optimalen Schwellwert für die Unterscheidung zwischen Nutzer und Bot festzulegen.