Captchas: Bin ich vielleicht doch ein Roboter?
Zählt diese Ecke noch als Ampel? Ist das ein «I» oder ein «l»? Wer sich im Internet bewegt, hat sich diese und ähnliche Fragen auch schon gestellt. Der Grund: Captchas. Was hat es mit diesen Internet-Rätseln eigentlich auf sich und warum sind sie manchmal so schwierig?
«Ich bin kein Roboter», steht da vor mir auf dem Bildschirm. Ich wähle das Kästchen an, und ein Bilderrätsel erscheint. «Wähle alle Felder mit Ampeln aus», werde ich aufgefordert. Hm … Nur die Ampel oder auch den Mast, an dem sie befestigt ist? Und was ist mit dem kleinen Stück der Ampel, welches gefühlt drei Pixel des Felds in der oberen linken Ecke einnimmt?
Quelle: Google / Dayan Pfammatter
Eigentlich ist es ironisch: Praktisch jeden Tag müssen wir unter Beweis stellen, dass wir keine Roboter sind – gegenüber Robotern! Und was einst einfache Fotos und verzerrte Buchstaben waren, sind heute KI-generierte Bilder von Tieren oder wortwörtliche Puzzlespiele, welche wir unterscheiden und lösen müssen.
Aber warum werden diese Captchas immer schwieriger? Und gibt es keine bessere Lösung?
Was ist eigentlich ein Captcha?
Captcha – oder eigentlich «CAPTCHA» – ist ein Kürzel und steht für «*C*ompletely *A*utomated *P*ublic *T*uring test to tell *C*omputers and *H*umans *A*part». Also ein automatisierter Turing-Test, der dich im besten Fall als Person identifiziert. Im schlimmsten Fall macht er dir aber nur das Leben schwer.
Wozu es das im Internet benötigt, kannst du dir wahrscheinlich schon denken. Sinn und Zweck der Captchas ist es, Websites vor Bot-Attacken zu schützen. Und zumindest in der Vergangenheit waren Bilderrätsel und verzerrte Buchstaben eine relativ sichere Methode, Bots draussen zu halten.
Quelle: reCaptcha / Dayan Pfammatter
Doch schon vor zehn Jahren hat Google im eigenen Security Blog eingestanden, dass auch Bots zunehmend in der Lage seien, die damaligen Captchas zu lösen – mit einer Genauigkeit von fast 100 Prozent. Eine neue Lösung musste her.
Mensch gegen Maschine: Ein Kopf-an-Kopf-Rennen
Während wir uns langsam aber sicher an Ampeln und Motorräder gewöhnt haben, sind auch KI-Tools zur Bilderkennung besser geworden. Sogar die kniffligen Puzzlespiele können heute von Bots gelöst werden, wie «MIT Technology Review» schreibt. Und im schlimmsten Fall rekrutiert die KI schlicht einen echten Menschen, um das Captcha zu lösen. Das ist tatsächlich schon mal passiert.
Quelle: Unsplash / Solen Feyissa
Was machen wir also, wenn jedes Rätsel und jede Aufgabe in den Captchas auch von Robotern gelöst werden kann? Google sagt: «Tod den Rätseln!»
Was die Roboter nicht können
Den wohl bisher erfolgreichsten Lösungsansatz für das Captcha-Problem finden wir aktuell in Googles «reCaptchas». Eingesetzt auf fünf Millionen aktiven Websites machen diese laut «Spiegel» auch mit Abstand den grössten Anteil der Captchas aus. Diese erkennst du daran, dass du hier nur noch das Kästchen auswählen, aber kein Rätsel mehr lösen musst.
Die reCaptchas verifizieren deine Menschlichkeit nämlich nicht mit kniffligen Rätseln, sondern mit deinem Verhalten. Google beschreibt dies im Security Blog wie folgt: «Wir haben ein fortschrittliches Risikoanalyse-Backend für reCcaptcha entwickelt, das aktiv die gesamte Interaktion eines Benutzers mit dem Captcha berücksichtigt – vor, während und nach dem Captcha – um festzustellen, ob dieser Benutzer ein Mensch ist.»
Quelle: Google / Dayan Pfammatter
Konkret heisst das: Das Captcha analysiert dein Verhalten. Etwa wie du deine Maus zum Feld bewegst, oder was du zuvor im Browser gemacht hast, wird in Sekundenschnelle analysiert. Ein Bot hätte die Maus in einer konstanten Geschwindigkeit und geradlinig bewegt und nicht zuvor ein Pesto-Rezept gegoogelt. Anschliessend wird errechnet, mit welcher Wahrscheinlichkeit du ein Mensch und kein Roboter bist.
In den meisten Fällen hat es sich damit und du bist drin. Erst wenn die Wahrscheinlichkeit nicht ausreichend hoch ist, musst du sicherheitshalber noch ein Rätsel lösen.
«Aber Captchas trainieren doch nur KI, oder?»
Jein. Vermutungen, dass wir KI-Modellen seit Jahren beibringen, was Ampeln, Strassenschilder und Motorräder sind, gibt es schon seit Jahren. Google selbst hat in der Vergangenheit bereits eingeräumt, dass die Daten von reCaptchas auch genutzt werden, um OCR-Texterkennung und Google Street View zu verbessern.
Quelle: Screenshot / Tesla
Als die Industrie von selbstfahrenden Autos ins Rollen kam, tauchten auch die Captchas mit den Ampeln auf. Relevant XKCD. Aber auch wenn davon auszugehen ist, dass wir mit den Captchas aktuelle KI-Modelle trainieren und Teslas das Fahren beibringen, bestätigt wurde diese Vermutung nie.
Muss ich denn jetzt den Ampelmast anklicken oder nicht?
Captchas sind schon seit den frühen 2000ern ein wichtiger Bestandteil des Internets. Eine Hochrechnung im Jahr 2006 ergab, dass täglich 200 Millionen Captchas gelöst werden. Bei 10 Sekunden pro Rätsel ergibt das 150’000 Stunden, oder über 17 Jahre (!) Knobelarbeit pro Tag. Wie diese Zahlen heute aussehen, lässt sich nur vermuten.
Mit neuen Entwicklungen wie Googles reCaptcha solltest du jedoch in Zukunft je länger je weniger Captchas lösen müssen. Zudem befinden sich jetzt bereits Technologien in Entwicklung, welche das Captcha potenziell komplett obsolet machen könnten.
Und bis dahin: Nein. Der Mast zählt nicht zur Ampel.
Captchas sind in der Regel gar nicht allzu streng mit deiner Bilderauswahl. Hast du noch etwas Zeit zu vertreiben und willst deine Captcha-Skills auf Vordermann bringen, findest du hier die gängigsten Captchas zum Ausprobieren.
Praktisch seit ich denken kann fasziniert mich alles, was Tasten, Displays und Lautsprecher hat. Als Journalist mit Fokus auf Technik und Gesellschaft schaffe ich Ordnung im Dschungel aus Tech-Jargon und unübersichtlichen Spec-Sheets.