WTF

Fast immer schneller, immer korrekter: Bots schlagen Menschen bei Captchas

Eigentlich wollte eine Forschungsgruppe ermitteln, wie lange Menschen für Captchas brauchen. Herausgekommen ist, dass Bots damit besser klarkommen.

In Pocket speichern vorlesen Druckansicht 123 Kommentare lesen
Tablet mit reCaptcha von Google

(Bild: Prathankarnpap/Shutterstock.com/heise online)

Lesezeit: 3 Min.

Menschen sind inzwischen fast durchgehend langsamer beim Lösen von Captchas als automatisierte Bots, die an diesen Rätseln eigentlich scheitern sollen. Das ist das Teilergebnis einer Analyse der Geschwindigkeit, mit der Menschen moderne Captchas lösen.

Dafür hat eine Forschungsgruppe zuerst die aktuell beliebtesten Captcha-Typen identifiziert und dann 1400 Personen jeweils zehn Aufgaben lösen lassen. Dabei haben sie herausgefunden, dass Menschen im Schnitt 3,6 bis stolze 42,7 Sekunden brauchen, um ein modernes Captcha zu lösen. Weitere Analysen zeigen, dass Bots bei fast allen Typen deutlich schneller sind und bei allen viel häufiger richtig liegen. Das lege nahe, dass die unbeliebte Technik ihren eigentlichen Zweck überhaupt nicht erfülle.

WTF

Das Internet ist voll von heißen IT-News und abgestandenem Pr0n. Dazwischen finden sich auch immer wieder Perlen, die zu schade sind für /dev/null.

Die Bandbreite bei der Lösungsdauer je nach Captcha-Art

(Bild: Searles et.al)

Captchas gibt es schon lange; sie sollen verhindern, dass Bots für Menschen bestimmte Funktionen im Internet massenhaft ausnutzen und beispielsweise Spam-Kommentare posten. Menschen sollten deswegen nachweisen, dass sie keine solchen Bots sind. Idealerweise sollte die Aufgabe für Menschen leicht und für Maschinen schwierig sein. Anfangs galt es, verzerrten Text abzuschreiben.

Inzwischen gibt es verschiedene Typen: Manchmal müssen Puzzle durch Schieben gelöst, manchmal Bilder in die richtige Position gedreht werden. Am weitesten verbreitet ist reCaptcha von Google mit verschiedenen Aufgaben zum Anklicken sowie Audio-Captachs. Laut der Studie dauert das Lösen der Puzzle teilweise im Durchschnitt Dutzende Sekunden.

Lösungsdauer je nach benutztem Gerät

(Bild: Searles et.al)

Die Forschungsgruppe hat im Hauptteil ihrer Arbeit ermittelt, dass die Teilnehmenden nicht unbedingt jene Captchas bevorzugen, die am schnellsten gelöst wurden, und dass Menschen mit zunehmendem Alter länger brauchen. Nachdenklich stimmt vor allem der Vergleich mit Bots. Weil in anderen Studien ermittelt wurde, wie lange Bots für das Lösen von Captchas brauchen und wie groß ihre Fehlerrate ist, können diese Werte nun verglichen werden. Teilweise sind Algorithmen demnach fast fünfmal schneller beim Lösen von Captchas, und immer liegen sie dabei zu mindestens 80 Prozent und teils zu 100 Prozent richtig, während Menschen nie über mehr als 85 Prozent richtige Antworten hinauskommen. Damit werden Menschen inzwischen besser ausgesiebt als Bots.

Es gebe keinen einfachen Weg mehr, um mit diesen Bilderrätseln oder "was auch immer" zwischen Menschen und Bots zu unterscheiden, fasst Andrew Searles von der Universität Kalifornien, Irvine das Ergebnis beim New Scientist zusammen. Um herauszufinden, dass Captchas unbeliebt sind, habe es keine Studie gebraucht, ergänzt sein an der Studie beteiligter Kollege Gene Tsudik. Aber bislang hätten Menschen nicht gewusst, ob es diesen kolossalen Aufwand "jeden Tag, jeden Monat und jedes Jahr" überhaupt wert ist. Der Cybersecurityforscher Shujun Li von der Universität Kent bestätigt gegenüber dem Magazin, dass die Technik ihr Ziel längst nicht mehr erziele und neue Ansätze nötig seien. Die Studie ist online abrufbar und wurde auf der Usenix Security 2023 vorgestellt.

Auf der Schwesterveranstaltung Usenix WOOT wurde 2017 präsentiert, wie leicht die damaligen Audio-Captchas von Google automatisiert zu lösen waren. Nicht nur das, Angreifer konnten das sogar gratis von kostenlosen Amazon-Elastic-Instanzen erledigen lassen. Daraufhin musste Google seine Audio-Captchas ändern.

(mho)