noCAPTCHA: Google startet sein unsichtbares CAPTCHA-System

Google, Ki, Captcha, Recaptcha, nocaptcha Google, Ki, Captcha, Recaptcha, nocaptcha
Der Suchmaschinenkonzern Google hat jetzt seinen neuen, unsichtbaren CAPTCHA-Service gestartet. Mit diesem sollen Anbieter von Services im Web nun auch unerwünschte Bots fernhalten können, ohne dass der menschliche Nutzer zu einer gesonderten Aktion gezwungen wäre.

Die CAPTCHA-Welle ging einst mit immer schwerer lesbaren Wörtern los, von denen man annahm, dass sie nur ein menschlicher Nutzer identifizieren kann. Immer schneller zogen die automatischen Texterkennungs-Systeme aber nach und irgendwann ging die Aufrüstung nicht mehr so weiter. Google sprang dann mit verschiedenen anderen Verfahren in die Bresche und sein reCAPTCHA-System ist heute das am weitesten verbreitete.

Da dieses in der Hauptsache nun ohnehin mit einer automatischen Unterscheidung zwischen Nutzern und Bots arbeitet, folgt nun konsequenterweise der Schritt, dass der Anwender überhaupt nicht mehr mitbekommen soll, ob ein CAPTCHA-System in eine Webseite eingebunden ist. Zuletzt genügte es ja auch schon, einfach nur noch einen Haken in eine Checkbox zu setzen.

Im Hintergrund arbeitet inzwischen ein KI-System, das anhand verschiedener Merkmale herausfinden soll, ob man es mit einem menschlichen Nutzer oder einem Bot zu tun hat. Das geschieht unter anderem in der Art der Mausführung und anderer minimaler Eigenheiten im Nutzungsverhalten, bei denen Menschen anders sind als Maschinen.
Dieses Video empfehlen
Kommentieren29
Jetzt einen Kommentar schreiben
 
Hoffentlich wird das bald dann flächendeckend eingesetzt, den Tor-Browser kann ich zur zeit kaum nutzen, die ständige Captcha abfragen nerven einfach nur noch.
 
@Kribs: Hoffentlich setzen die den Mist NICHT ein, damit ist man auf Gedeih und Verderb dem Richterspruch des Captchas ausgeliefert.
"Du bist ein Bot!", "Nein, ich bin ein User!", "Ich sage du bist ein Bot und kommst hier net rein.", dazu ist Maschinenlernen einfach noch viel zu blöde.
 
@Gelegenheitssurfer: ich bin mit einer riesen Webseite seit 3 Monaten im betaprogramm. Sofern du als Bot erkannt werden solltest kommt die bilderabfrage wie wie auch schon beim reCaptcha.
 
@Gelegenheitssurfer: sieht dann so aus:

https://picload.org/image/rlldgrii/screenshot_20170309-205408.png

https://picload.org/image/rlldgriw/screenshot_20170309-205344.png
 
@Ludacris: Hmm.... Okay, gut, damit ist ein großer Teil meiner Skepsis besiegt. Diese Info fehlte mir, hab da zwar was vermutet, aber keine Info zu gehabt. Gefällt mir zwar (noch) nicht, aber immerhin ist es so einsetzbar. Damit bin ich nur noch skeptisch, nicht mehr dagegen.
 
@Kribs: Es braucht nicht viel Kreativität um zu schlussfolgern, dass der Mechanismus womöglich im Tor Browser gar nicht erst funktioniert, da der Tor Browser ja tracking versucht zu verhindern worauf diese AI aufsetzt.
 
@Suchiman: Das hat doch erst mal überhaupt nichts mit Tracking zu tun, das Captcha soll ja nur Bots von der Seite fernhalten, indem man den Menschen zum betreten eine Aufgabe stellt.
Sobald ich die Seite/den Dienst freigeschaltet habe kann ich auch getrackt werden, was der Tor-Browser nicht verhindert, er liefert nur falsche Daten an den Tracker.
Somit gibt es absolut auch keinen Hinderungsgrund für den Tor-Browser .
 
Mobilgeräte haben aber keine Maus(führung).
 
@bumabuma: Und auch da bekommst du ein bestimmtes Verhalten heraus, da man nun man einfach nicht exakt auf Pixel xy drückt
 
Auch das wird nicht lange vorhalten.
 
Naja Zeit wird es schon. Sonst ist man ja nur noch beschäftigt Schriften zu erkennen, Puzzle zusammenzusetzten, Bilder einzukreisen usw. usw.
 
Ich bin Webentwickler und arbeite schon seit mehr als 10 Jahren erfolgreich mit einem selbst programmierten System zur unsichtbaren Spam-Abwehr. Ich verstehe eh nicht warum man da so einen HeckMeck draus machen muss oder überhaupt auf die Idee kommen kann Benutzer mit den typischen Captchas quälen zu wollen. Dabei reicht doch schon eine einzige Regel um 90% vom Spam abzuwehren. Je nach Formularumfang muss zwischen dem Seitenaufruf und dem Absenden des Formulars eine Mindestzeitspanne liegen. Das ist schnell programmiert und alleine das wehrt schon fast alles ab. Die Bots verlieren bei einem solchen Vorgehen massiv an Effektivität. Durch weitere Regeln die eigentlich nur logisch sind, lässt sich auch der Rest abfangen. Aber nein, da braucht man ja gleich ein komplexes KI System - am besten noch mit neuronalen Netz.....
 
@Smedi: Allerdings darf man auch den Traffic der verschiedenen Seiten nicht unter den Tisch fallen lassen - eine kleine Homepage einer Privat-Person wird um einiges seltener für Spam missbraucht als größere Seiten mit User-Content.

Wir betreiben ein Forum mit über 2,5 Mio Nutzern und werden immer wieder von verschiedenen Spam-Wellen getroffen, hauptsächlich aus Südkorea. Diese lassen sich recht einfach mittels Geo-Blocking aussperren, Catcha-Systeme haben hier dagegen keine Chance - am anderen Ende sitzen nämlich Menschen und keine Bots. Anstatt also die Meta-Daten für eine Filterung zu verwenden, füttern wir diese zusammen mit dem Text an ein neuronales Netz eines externen Anbieters - und das ist ziemlich effizient.

Übrigens können auch Spam-Bots so gebaut werden, dass sie eine Formular-Eingabe simulieren und sich dabei entsprechend Zeit lassen.

Edit: Das ganze kommt natürlich auch auf die Art des Spams an. Der typische Bot legt es nur darauf an, seine Posts möglichst oft zu verbreiten, menschliche Spammer achten eher auf die Lebensdauer der Posts, daher sind diese qualitativ "hochwertiger"/schwerer zu erkennen.
 
@max06.net: Der Traffic spielt keine so große Rolle, wenn das System zur Spamabwehr effektiv ist und Ressourcen spart. Eine auf einem neuronalen Netz basierende KI ist nicht unbedingt der performanteste Weg auf einer High Traffic Seite.

Bots können natürlich auch zeitgesteuert agieren. Trotzdem macht es sie damit erheblich ineffektiver. Man darf es auch nicht bei einer Regel belassen. Ich arbeite mit einer Reihe von Regeln die auf logischen Überlegungen basieren.

Menschliche Spammer sind nochmal ein eigenes Thema. Egal ob mein genanntes Regelwerk, klassische Captchas oder Googles unsichtbares Captcha. Kein System ist zu 100% vor Spam unter zuhilfenahme menschlicher Ressourcen geschützt. Auch bei der KI-basierten Analyse von Mausbewegungen reicht es schon das Verhalten von echten Menschen einmal aufzuzeichnen und dann mit minimalen Veränderungen immer wieder abzuspielen.

Wenn es um Spam von oder mit Hilfe von Menschen geht, muss man ohnehin zusätzlich mit Methoden arbeiten den gesendeten Content zu analysieren - hier kommt es halt wirklich stark auf den Bereich an wie man letztlich vorgehen sollte. Das geht allerdings über das Thema Captchas weit hinaus bzw. hat nicht mehr viel damit zu tun.
 
@Smedi: ... dass dann sowieso nicht funktioniert. Schon das jetzige System setzt Cookies, JavaScript, iframes und vorallem die aktive Nutzung von Google Diensten voraus. Ich muss fast 100% aller ReCaptchas händisch lösen, nix mit Haken klicken und fertig, weil mein Browser viele Sachen blockt und ich keine Google Cookies habe. Und dann hat man auch noch das großartige Vergnügen wenn man AdBlocker oder uMatrix nutzt auf jeder Seite ReCaptcha whitelisten zu dürfen. Bei unsichtbaren ReCaptchas wird das richtig großartig weil man dann nicht mal mehr mitbekommt dass überhaupt was geblockt wurde bis man analysiert, warum es gerade nicht weitergeht.
 
@lutschboy: Da hast du einen nicht uninteressanten Punkt angesprochen, der ganz besonders für unser Land gilt. Eine nicht unerhebliche Zahl von Nutzern möchte gerne nicht überall seinen digitalen Fingerabdruck hinterlassen. Ein nicht unrealistisches Szenario ist dabei das blockieren von Google-Servern. Und schon tritt genau das Dilemma ein was du gerade erläutert hast. Der Nutzer kann das Formular nicht mehr absenden und der Programmierer kann schwer nachvollziehen warum der Nutzer Probleme hat.

Bei der Nutzung eines logischen Regelwerks hingegen spielt es keine Rolle ob der Nutzer Google-Dienste blockt, einen Ad-Blocker nutzt, Javascript deaktiviert hat, Cookies deaktiviert oder sonstwas.

Ich nutze solche Systeme auf Websites mit mehr als 500.000 Besuchern pro Monat mit großem Erfolg. Damit meine ich nicht nur die gute Spam-Abwehr, sondern auch die Conversion-Rate die nicht durch ein doofes Captcha reduziert wird.

Mir ist es wirklich unbegreiflich wie sich Captchas so etablieren konnten. Um die nötigen Regeln zu definieren muss man wirklich kein Genie sein und viel länger als eine Captcha-Lösung zu einzubinden dauert es auch nicht.
 
@Smedi: Mir scheint dein logisches Netzwerk basiert auch ein wenig auf Unwissenheit der Bot-Programmierer auf. Für größere Netzwerke wird das schon uneffektiver und für Baukästen wie die meisten Foren-Softwares wo der Admin ein Häkchen Captcha Ja/Nein? ankreuzt ist die Methode dann eher öffentlich.
Ich denke auch, dass die Bots durch Wartezeiten bei gezielten Angriffen wenig abgehalten werden. Man kann auch Botnetze mit einer großen IP-Range und wenig Rechenleistung mieten, die Bots die dann zu 7-stelligen Zahlen die Wartezeit abwarten ddosen dann halt nebenbei noch für irgendeinen anderen Kunden irgendwas.
 
@andy01q: Für viele der Regeln ist deine Aussage zutreffend - einige Regeln sind dennoch bei mir im Einsatz, bei denen die Kenntnisse der Bot-Programmierer keine so große Rolle spielen. Natürlich: Sind alle Regeln im Einzelnen ganz genau bekannt, kann man selbstverständlich einen Bot Programmieren der sämtliche Regeln umgehen kann. Der funktioniert dann nicht für jedes Regelwerk und muss jedesmal neu konfiguriert werden, aber möglich ist es. Genauso wie es möglich ist Googles unsichtbares Captcha zu "knacken" oder jedes andere System.

Am Ende ist es so: Ob Regelwerk, Captcha oder Analyse der Mausbewegungen oder sonstwas - es ist und bleibt ein Katz und Maus Spiel.

Übrigens Unwissenheit würde ich es bei den Bot-Programmierern nicht nennen. Warum sollten die sich die Mühe machen, wenn es noch gar keine Notwendigkeit dazu gibt. Vielleicht ist die Notwendigkeit irgendwann da, aber immerhin gibt es dann trotzdem Hürden für die Bots. Solange nicht jeder das selbe Regelwerk benutzt und die Konfigurationen gut gemischt sind, wird immer noch ne Menge abgefangen, ohne Einbußen auf die Benutzerfreundlichkeit einer Seite. In ein paar Jahren, wenn alle unsere Internet of the Things Geräte gigantische Botnetze bilden spielt das wohl eh keine Rolle mehr. Wie gesagt - Katz und Maus bis in die Ewigkeit.
 
@lutschboy: Wer nicht auto fahren will geht halt zu fuß.
 
@Alexmitter: Wenn dann will ich Rad fahren, ich habe kein Auto. Aber wenn ich Auto fahren wollen würde müsste ich deshalb noch lange nicht auch 20 meine Gedanken protokollierende Beifahrer haben
 
@lutschboy: Der unterschied ist das niemand deine oder meine Gedanken protokolliert, wenn doch währe das trotzdem nicht sehr interessant, bei niemanden.
 
@Alexmitter: Stimmt, die Werbeindustrie z.B. interessiert sich ja nur dafür was Kieselsteine denken. Politiker, Geheimdienste und Behörden interessieren sich nur für die Gedanken von Kohlenstoffatomen. Und natürlich, Datenbanken protokollieren nicht was Tracker tracken, Tracker werden dafür genutzt, keine Daten zu sammeln, das ist ihr Zweck. Geh deine Medizin schlucken, bitte ...
 
@lutschboy: "Stimmt, die Werbeindustrie z.B. interessiert sich ja nur dafür was Kieselsteine denken"
Vielleicht dafür was ich kaufe, aber garantiert nicht was ich denke.

"Politiker, Geheimdienste und Behörden interessieren sich nur für die Gedanken von Kohlenstoffatomen"
Das ist ein ganz anderes Problem, das du aber nur vermeiden kannst in dem du in einem Baumhaus lebst, irgendwo im Urwald und dich weit weg von allem elektronischen aufhältst.

"Datenbanken protokollieren nicht was Tracker tracken"
Ach komm schon, was denkst du denn was da für Daten anfallen, deine geheimsten träume oder eher welches zeug du dir bei Amazon kaufst. Die Kassiererin im Supermarkt weis genauso viel über dich.

"Geh deine Medizin schlucken, bitte ..."
Du bist genau der typ von Mensch der sich sein Auto auf 25kmh runterregeln lässt, alles andere währe ja gefährlich, aber das es da etwas gibt das man Spaß nennt, und das man nur ein einziges leben lang genießen kann, das vergisst man. Ich weis nicht wie es dir so geht, aber ich genieße lieber mein eines kleines leben in vollen Zügen, nutze was ich kann und bremse mich nicht absichtlich aus.
Und wo wir bei Medizin sind, entsprechende Neurotransmitter sind kein Ersatz für echten Spaß...
 
@Smedi: Ich hab die Erfahrung gemacht das bei Formularen eine einzige Frage wie "Ist Eis heiß oder kalt" und ein honeypot schützen.
Captchas sind was accessibility betrifft das letzte.
Auf der einen Seite hat das Web behinderten Menschen ganz neue Möglichkeiten eröffnet aber es wird z.B. in den meisten Shops nicht mal an Farbblindheit gedacht.
 
@Paradise: Solch eine Frage ist zwar schon angenehmer als ein Captcha, dass so entstellt ist, dass man es erst im dritten Analuf lösen kann, aber die Conversion-Rate leidet trotzdem.

Hier mal ein paar Gedanken für dich mit denen du verifizieren kannst ob es sich um einen Spam-Bot handelt:
- Wurde das Formular überhaupt aufgerufen, bevor es abgesendet wurde?
- Wie lange hat der Nutzer zum Ausfüllen des Formulars gebraucht? (Eine Zeitspanne von 500ms ist bei Menschen z.B. unrealistisch. Arbeitet man mit einer Mindestzeit, sollte diese aber an die Formularlänge angepasst werden und auf keinen Fall zu lang sein)
- Ist das Formular nicht direkt erreichbar muss geprüft werden ob der Nutzer dem Pfad/Trichter überhaupt gefolgt ist. (und in welchem Tempo)
- Hat sich der User-Agent während der Session geändert?
...

Es gibt noch endlos mehr Faktoren die man einbeziehen kann. Ich habe z.B. noch ein erheblich größeres Regelwerk und generiere mir einen Score der zur Risikoeinschätzung genutzt werden kann. So kann ich Kriterien nutzen die auf einen Bot hinweisen, aber theoretisch auch bei normalen Nutzern greifen. Wird eine solche Regel erfüllt, wird der prozess nur geblockt, wenn auch weitere Indikatoren für einen Bot sprechen. Andererseits gibt es harte Regeln, die den prozess umgehend blockieren, weil es sich eindeutig um einen Bot handelt.
 
@Smedi: So etwas selbst entwickeltes funktioniert gut, wenn die Seite vergleichsweise klein ist und sonst kaum eine Seite den selben Schutz verwendet. Sobald das halbe Web dein Regelwerk verwenden würde, würde es wirkungslos werden, weil es für die Spammer dann interessant genug wird, den Schutz zu überwinden.
 
@TiKu: Wie du vielleicht oben gelesen hast, verwende ich solche Techniken nicht gerade auf kleinen Seiten.

Du sagst, dass die Technik nicht mehr funktioniert, wenn sie das halbe Web verwendet: Das ist teilweise korrekt. Einen 100%igen Schutz wird es nie geben. Wie auch schon oben gesagt, lässt sich auch Googles unsichtbares Captcha leicht austricksen. Es ist also trotzdem nicht effektiver als ein sinnvoll eingesetztes Regelwerk - der Unterschied ist aber, dass das Regelwerk performanter ist und auch funktioniert, wenn Javascript deaktiviert ist, Google Server geblockt werden oder Cookies deaktiviert/abgelehnt werden. Beide Mechanismen sorgen mindestens dafür, dass Spam-Bots weniger effektiv sind, aber im Zeitalter des Internet of the Things spielt auch das bald keine Rolle mehr. Bis 2020 sollen ja laut Schätzungen 20-50 Milliarden IoT-Geräte im Umlauf sein - wenn die so abgesichert sind, wie bisher, dann haben wir 2020 ohnehin mit ganz anderen Probleme zu kämpfen als uns "nur" um Spam zu kümmern.

Ich sehe ein Regelwerk immer noch als die beste Lösung. Zum einen aus den oben genannten Gründen aber auch, weil sich ein Regelwerk sehr gut an die Bedürfnisse und der Art des hauptsächlich erwarteten Spams anpassen lässt.

Je nachdem was man vor Spammern schützen möchte ist ein Captcha/Regelwerk auch nur der erste Schritt, aber das geht dann über das Thema Captchas hinaus.
 
@Smedi: Eine halbe Mio. Besucher im Monat ist nicht wenig, aber auch noch nicht wirklich groß. Wenn diese Seite dann auch noch die einzige ist, die diesen Schutz verwendet, ist sie wahrscheinlich wirklich einfach noch nicht interessant genug für die Spammer.
 
@TiKu: Ich betreue natürlich nicht nur eine Seite in der Größenordnung. Letztlich spielt es aber keine so große Rolle, denn wenn bei einer halben Million Besuchern kein Spam durchkommt ist es bei 5 Millionen nicht anders.

Anders - und das siehst du vollkommen richtig - sieht es aus, wenn die Seite so bedeutend ist, dass es sich wirklich lohnt Aufwand zu investieren um dort Spam oder sonstige Beiträge zu veröffentlichen. Wenn man ernsthaft Energien darauf konzentriert Spam in eine Seite einzuschleusen, dann schafft man das auch. (bezogen auf Captcha/Regelwerk)

Bei einer solchen Größenordnung ist ein Captcha oder Regelwerk dann aber eben nicht mehr einziges Kriterium, denn das was an Daten nicht geblockt wird, wird bei solchen Seiten auf anderem Wege geprüft. Hier können neuronale Netze dann tatsächlich nützlich sein. Es kommt dann aber eben noch sehr auf die Art der Seite an, welche Mechanismen greifen. Bei einem klassischen Forum z.B. als letzte Instanz der gute alte Moderator.
Kommentar abgeben Netiquette beachten!