Blog

Invisible reCAPTCHA + Double-Opt-In = mehr Sicherheit ohne Nachteile?

Beim Thema Adressgenerierung wurde unlängst der Ruf nach CAPTCHAs laut. Also nach Funktionen, die sicherstellen sollen, dass auf der Webseite gerade ein Mensch, und kein automatisiertes Skript den Newsletter bestellt. Ohne dem ist es leider oft ein Leichtes, Empfängerlisten mit beliebigen Adressen zu fluten. Selbst bei Anwendung des Double-Opt-In-Verfahrens (DOI-Verfahren) bleibt das Problem, das Postfächer, die Ziel einer List-Bombing-Attacke sind, durch Unmengen von Checkmails malträtiert werden – so geschehen im August. Nun können CAPTCHAs das Double-Opt-In zwar absichern. Doch meist leidet darunter das Nutzererlebnis. Und von weiteren Conversion-Hindernissen über das DOI hinaus nehmen Werbetreibende natürlich gerne Abstand. Jetzt steht die neue Version des populären Dienstes reCAPTCHA in den Startlöchern. Und die könnte ein veritabler Kompromiss werden.

Die alten reCAPTCHAs

reCAPTCHA?! Oh nein. Da denkt man zunächst an nervige Zeichenketten, die absolut unleserlich sind und trotzdem entziffert werden sollen. Der Mensch „leidet“. Doch die kryptischen Texte allein sind für Maschinen schon lange keine ausreichende hohe Hürde mehr. Zumindest nicht für solche, die sich die Fortschritte im Bereich der künstlichen Intelligenz zunutze machen. So knackte ein entsprechend trainiertes Convolutional Neural Network (ConvNet) Ende 2013 die schwersten reCAPTCHAs zu 99,8 Prozent.

Klassisches reCAPTCHA: Der Nutzer hilft zugleich bei der Schrifterkennung von Google Maps oder Google Books

 

Technologien für Internet-Sicherheit müssen immer wieder nachziehen. Im Idealfall sorgen sie nicht nur für mehr Sicherheit, sondern auch für ein besseres Nutzererlebnis. So rückte etwa zeitgleich mit Veröffentlichung der ConvNet-Studie die Risikoanalyse der Nutzerinteraktion anstelle der reinen Texterkennung bei reCAPTCHA in den Vordergrund. Je nach Gefahrenpotenzial des Besuchers spielte die Technik nun Varianten mit unterschiedlichen Schwierigkeitsgraden aus. Bei geringem Risiko reicht die Eingabe einer leichten Ziffernfolge anstelle einer unkenntlichen Buchstabenkombination.

Ein Jahr später ließ reCAPTCHA vollends von der Zeichenerkennung ab. Beim sogenannten „No CAPTCHA reCAPTCHA“ reicht ein Klick in ein Häkchenfeld, um sich als Mensch zu identifizieren; bei hohem Risiko müssen Fotos einer bestimmten Kategorie ausgewählt werden. Die Variante ist heute auf vielen Webseiten vorzufinden. Doch ein Makel bleibt auch hier bestehen: Jede aus Nutzersicht unnötige Aktion mindert die Lead-Ausbeute. Selbst ein einfacher Klick in ein No CAPTCHA reCAPTCHA irritiert den Anwender und führt evtl. zum Abbruch.

Bei der No CAPTCHA reCAPTCHA-Variante muss der Nutzer in ein Häkchenfeld klicken und ggf. zusätzlich Bilder markieren, um zu bestätigen, dass kein Bot, sondern ein Mensch das Formular absendet

 

Das neue Invisible reCAPTCHA

Erfreulicherweise steht die nächste Evolutionsstufe des reCAPTCHA nun in den Startlöchern. Zum Jahresende lädt Google dazu ein, das Invisible reCAPTCHA auszuprobieren. Das läuft nun vollends im Hintergrund und benötigt somit überhaupt keine Interaktion mehr. Interessenten können sich unter google.com/recaptcha registrieren. Dabei sind die Domains anzugeben, unter denen das neue reCAPTCHA v2 verbaut werden soll. Auf das Whitelisting durch Google folgt eine Benachrichtigung per E-Mail. Sodann kann der Code in Onlineformularen genutzt werden. Etwa, um automatisierte Newsletter-Anmeldeversuche im Keim zu ersticken.

Das Invisible reCAPTCHA in Aktion: Ein Mensch kann das Formular absenden, ein Bot hingegen nicht; das reCAPTCHA Badge informiert standardmäßig unten rechts über die Google Nutzungs- und Datenschutzbedingungen
“Coming soon. The Invisible reCAPTCHA.“ - Interessenten können sich auf der reCAPTCHA-Webseite für das Invisible reCAPTCHA registrieren
Google informiert die reCAPTCHA v2 Interessenten per E-Mail über den Start des neuen Anti-Abuse-Tools
Die Einstellungen zum reCAPTCHA werden durch Statistiken ergänzt (hier mangels Traffic nicht dargestellt)
Eine einfachste Form der Einbindung bestehend aus JavaScript, Schlüssel und Callback-Funktion
Alternativ: Die Inline-Darstellung platziert das reCAPTCHA Badge direkt über dem Absenden-Knopf

 

Zur Integration führt der Dienst die folgenden Punkte an:

  • If you haven’t integrated your site with reCAPTCHA v2, please follow our developer guide for implementation details.
  • Please make sure that your site key that has been whitelisted for Invisible reCAPTCHA.
  • To enable the Invisible reCAPTCHA, rather than put the parameters in a div, you can add them directly to an html button.
    • data-callback=””. This works just like the checkbox captcha, but is required for invisible.
    • data-badge: This allows you to reposition the reCAPTCHA badge (i.e. logo and ‘protected by reCAPTCHA’ text) . Valid options as ‘bottomright’ (the default), ‘bottomleft’ or ‘inline’ which will put the badge directly above the button. If you make the badge inline, you can control the CSS of the badge directly.
  • Verifying the user’s response has no changes.

Schließlich gelten die Datenschutzerklärung sowie die Nutzungsbedingungen von Google. Webmaster müssen ggf. ihre Belehrungen anpassen. Google erläutert:

The Invisible reCAPTCHA is designed to protect your site while minimizing delay for your users. Because the Invisible reCAPTCHA is meant to operate in the background of your site, you must update your privacy notice to users to account for this. In particular, sites that implement the Invisible reCAPTCHA must explicitly inform their users that they integrate third party software that collects information about users for security reasons. Further, sites must inform their users that information collected by reCAPTCHA is held in accordance with the Google Privacy Policy. If we learn that your site does not make this information known in your privacy notice to users, we may disable your implementation of the Invisible reCAPTCHA.“

Fazit

Es könnte eine Überlegung wert sein, das Double-Opt-in zusätzlich durch ein Invisible reCAPTCHA abzusichern. Zwar bleibt abzuwarten, ob sich die neue Technologie in der Praxis bewährt. Doch ein weiteres Quäntchen Schutz weiß sicherlich jeder zu schätzen, sofern die User Experience – und damit die Anmeldequote – nicht leidet. Vor allem dann, wenn es in der Vergangenheit bereits Probleme mit Bots gab.