Was es ist
reCAPTCHA ist ein Betrugspräventions-System betrieben von Google und angeboten als kostenlos (unter Nutzungsquoten) sowie als Enterprise-Lösung über Google Cloud Platform. reCAPTCHA überwacht Benutzer-Interaktionen auf Websites, um zu unterscheiden zwischen echten Menschen und böswilligen Bots. Das System hat sich über vier Versionen entwickelt, von frühen textgestörten-Bildern zu modernen risikogesteuerten Scoring-Ansätzen[1].
Die erste Version (v1) wurde 2009 eingeführt und 2018 eingestellt. Version 2 wurde 2014 eingeführt und bleibt eine Referenz-Implementierung. Version 3 wurde 2018 veröffentlicht und ist nun die empfohlene Vanilla-Version. Enterprise ist eine hochgeladene Variante mit zusätzlichen Signalen, verfügbar durch Google Cloud.
Versionen und Implementierung
reCAPTCHA v2: Präsentiert einen Checkbox mit der Bezeichnung „Ich bin kein Roboter.” Nutzern, die Pass-Risiko-Bewertung bestehen, wird sofort gelöscht. Nutzern mit höherer Verdacht wird eine sekundäre Bildgitter-Herausforderung angezeigt, in der sie Objekte kategorisiert (z.B. „Alle Ampeln wählen”). Das Eindeutieren ist einfach für Menschen, aber hat sich gegen Machine-Learning-Bildklassifizierung bewährt.
Server-seitige Verifikation erfordert, dass die Website einen POST-Request zum Google-Siteverify-Endpunkt mit der Challenge-Antwort Token und Site-Secret-Key macht. Google antwortet mit einem success Boolean und einem hostname Feld, das die Domain beglaubigt.
reCAPTCHA v3: Keine sichtbare Checkbox oder Bildgitter. Das v3-Widget lädt im Hintergrund, überwacht Benutzer-Interaktionen (Mausbewegungen, Scrolling, Klick-Timing) und gibt eine kontinuierliche Risikowertung zwischen 0.0 (sieht wie ein Bot aus) und 1.0 (sieht wie ein Mensch aus) zurück. Die Website setzt einen Schwellwert (typisch 0.5-0.7) und akzeptiert oder blockiert basierend auf dem Score.
v3 wird bevorzugt für Wettbewerbe weil es friktionsfrei für echte Benutzer ist — keine sichtbare Herausforderung. Aber der Score kann für Abstimmungs-Services schwierig zu manipulieren sein weil er die Eingabe über Behavioral-Signale (echte Mausbewegungen sind nicht leicht zu replizieren).
reCAPTCHA Enterprise: Erweitert v3 mit zusätzlichen Signalen, adaptiver Schwelle und Sicherheits-SLAs. verfügbar nur über Google Cloud Platform mit bezahltem Abonnement. Wurde von den Finanzmotoren und Regierungsagenturen weit verbreitet.
Sicherheit und Kosten
reCAPTCHA v2/v3 sind kostenlos bis zu einer Quote (1 Million Anfragen pro Monat grob). Überkontingent-Anfragen treten auf monatliche Kosten an.
Sicherheit ist zeitlich stark. v2-Bildgitter waren beweis gegen Image-Recognition-ML-Modelle bis 2015 aber sind jetzt teilweise effektiv angreifbar durch spezialisierte Modelle. v3’s Behavioral-Scoring ist schwieriger zu brechen weil die Signale zahlreich und zeitlich sind.
Anti-Fraud-Mechaniken
v2 erkennt Bots durch:
- Sichtbare Benutzer-Interaktion (Checkbox-Klick)
- Bildgitter-Lösungs-Genauigkeit (echte Menschen machen Fehler, aber konsistent; echte Menschen machen Fehler bei irreführenden Bildern)
- Behavioral-Signale während des Challenges (Mausgeschwindigkeit, Scroll-Muster)
v3 erkennt Bots durch:
- Browsing-Historie mit Google-Konten
- Verhalten-Konsistenz über Zeit
- Geräte-Fingerprint (Beständigkeit)
- IP-Reputation
Verwendung in Abstimmungen
Wettbewerbe schützen Abstimmungsformulare oft mit reCAPTCHA, um sicherzustellen, dass jede Abstimmung von einer echten Person stammt. Der Fluss ist:
- Benutzer lädt Abstimmungsseite
- reCAPTCHA-Widget initialisiert
- Benutzer beantwortet Challenge (v2) oder verhält sich natürlich (v3)
- reCAPTCHA Token wird generiert
- Benutzer klickt Abstimmungs-Button
- Website sendet Token zu Google zum Validieren
- Google gibt Bestätigung zurück
- Website zählt Stimme
Quellen
- Google reCAPTCHA Docs: https://developers.google.com/recaptcha/docs/v3
- reCAPTCHA Versions: https://developers.google.com/recaptcha/docs/versions
- Google Cloud reCAPTCHA Enterprise: https://cloud.google.com/recaptcha/docs/overview
