Captcha Ersatz - Usability vs. Sicherheit ?!

#1 Hallo!

Bei vielen Formulare, insb bei Anmeldungen, etc., ist ja das abtippen eine Captchas (kleines Bild mit zufälligen Zeichen) erforderlich.
Ich persönlich finde diese Methode zwar geeignet um Formularspam vorzubeugen, aber dennoch in der Regel eher lästig.
Daher habe ich mich mal an einem anderen Ansatz versucht, der hier als kleines Beispiel zu sehen ist.

http://www.wwwworking.de/de/wwwworking.de/php_scripte/spamschutz/index.html

Zunächst interessiert mich natürlich Eure Meinung zu der Methode im Hinblick auf Usabilility als solches. Insbesondere aber würde mich interessieren, wie es Eurer Meinung nach um die Sicherheit der Methode bestellt ist.
Die Anzahl der Kreise, deren Größe, Dicke, Farbe sowie das Hiontergrundbild sind natürlich frei einstellbar und hier eben nur ein Beispiel.

- Ist die Methode leichte oder schwerer zu umgehen für Bots?
- Wie sollten sowohl das Hintergrundbild als auch die Merkmale (Kreise) optimaler Weise beschaffen sein?
- Was sollte man sonst beachten? Was habe ich übersehen?

Vielen Dank für Euer Feedback ,-)

Gruß

Philipp

#2 Also ich finde die Idee gut.
Wegen der Sicherheit, allgemein duerfte es schwer sein fuer einen Robot sowas auszuwerten, vorallem da man die Sache ja auch erweitern kann (mit Rechtecken, Dreicken, was auch immer).

Vorallem nach dem Erscheinen dieser Idee duerfte es eh daueren, bis sich die Robots wenn ueberhaupt auf sowas einstellen.
MFG
DAFRA

P.s.
Beitrag 999

#3 Hi,

erstmal gratuliere zu dieser guten Idee für mehr Usability!!

Verbesserungsvorschläge:
- immer mindestens 3 ggf. wechselnde Farben
- verzerrte Ellipsen / Kreise in verschiedenen Größen sind noch ein Nummer komplexer
- dynamisches Hintergrundmuster
- überhaupt ist es gut wenn sich Buchstaben (hier Zeichen) überschneiden!

ein Problem woran ich gerade noch knobel, wieviele Try&Error Möglichkeiten hat man bei Dir? - bei Text Captchas ist Try&Error oft nur sehr sehr schwer möglich!

ich stolper im Augenblick sogar schon über akustische Captchas (<- mögliche Alternative für stark sehbehinderte Menschen)
die andere Seite arbeitet auch schon fleissig: es existieren inzwischen konkrete Projekte, die sogenannte CAPTCHAs (denn jedes maschinenlesbare CAPTCHA ist keines) algorithmisch erkennen lernen, und die Quote der Erkennung ist gar nicht mal übel. Das Projekt Breaking a Visual CAPTCHA an der Uni Berkeley ist nur ein Ansatz, um diese en vogue geratene Variante der Spamvermeidung zu überlisten. -> http://www.cs.sfu.ca/~mori/research/gimpy/

Viel Glück und halte uns bitte auf dem Laufenden
Greetz Lp

#4 Auf alle Fälle eine interessante Idee...
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#5 Zunächst einmal vielen Dank für das Feedback und die Vorschläge.
Habe das mal ein wenig geupdatet.

- beliebig viele Kreise.
- Radius wird aus Minimum und Maximum Vorgabe zufällig bestimmt.
- Farben werden aus vorgegebener Menge zufällig bestimmt.
- Hintergrundbilder, auch verschiedener Größen, werden aus vorgegebener Liste zufällig gewählt (dynamisch wäre auch möglich, ist hedoch nicht sehr perfont fürchte ich...)

Eine Try & Error Begrenzung müsste eigentlich auch noch rein... nachteil ist, dass man dann auf einen Cookie (bzw. Session) angewiesen wäre.

Akkustische Captchas sind sicher auch interessant, aber für die Masse meiner Meinung nach noch ungeigneter als optische, weil es einfach häufig an einer Ausgabemöglichkeit mangelt. Das wäre sicher eine Interessante alternative auf dem Weg zu Barrierefreiheit...

Gruß

Philipp

#6 Hi Phiro,

ich habe zwar nur einen "durchschnittlichen" Sehfehler, aber als Mensch mit anderweitiger Behinderung erlaube ich mir doch hier ein kritischeres Feedback.
Bitte betrachte dies nicht als negatives Schlechtmachen, sondern als positiven Ansporn.

Betreff Barrierefreiheit:
Ich finde es nicht erstrebenswert neue unnötige Barrieren für Menschen mit Behinderungen zu schaffen. Ob das nun z.B. rein aus design-technischen Gründen aber ansonsten unnötige Treppen oder zu schmale Türen an Gebäuden sind, oder ob das nicht-barrierefreie Techniken bei Webseiten sind, oft sind es erst die unnötigen Barrieren, die Menschen mit Behinderungen zu Behinderten machen.

Abgesehen von dem Problem mit der Barrierefreiheit, sind deine Kreis-Captchas nach meinem Empfinden auch nicht leichter zu "entziffern" als die "kryptischen Buchstaben".

Wie gesagt, verstehe dies bitte als Ansporn an einer Barrierefreien-Technik zu arbeiten.

Gruß
RollaCoasta
__________
U can get it if u really want! (J.Cliff)

#7 Hey Philipp!

gute Erweiterung! - eventuell sollte man allerdings das Farbmanagment nochmal überarbeiten - wie RollaCoasta schon sagt wird das ganze ziemlich schwierig:


^^ bei diesem Beispiel musste ich sogar richtig suchen wo der unvollständige Kreis ist

das mit der Try & Error Begrenzung müsste man wohl oder übel über eine IP Sperre machen, die für einige Zeit nach einigen Fehlversuchen eine IP blockt.

Greetz Lp

#8 übrigens gerade gefunden:

Im Webmaster-Blog kann man aktuell über den „KittenAuth Test“ lesen. Bei diesem Test werden 9 verschiedene Bilder angezeigt, die sowohl in Reihenfolge als auch Inhalt per Zufall ausgewählt werden. Ein menschlicher Benutzer muss nun – zumindest in dem Beispiel – aus den 9 Bildern genau die auswählen, die als Motiv Katzen zeigen. So erlangt man die Berechtigung sich zu registrieren, zu kommentieren oder was auch immer für eine interaktive Geschichte dadurch geschützt wird. Scripte müssen draußen bleiben.

http://blog.webmaster-homepage.de/item/1219

Zugänglich und barrierefrei ist aber auch diese Methode keineswegs.

Greetz Lp

#9 moin boardies...

da ich mich in den vergangenen Wochen mit zwei Online-Applikationen beschäftigen musste, die
u.a. auch das Thema "sichere Formulare" beinhalteten, vielleicht ein, zwei Hinweise allgemein
und zu dem Ansatz von phiro im Speziellen:

Neben dem Missbrauch von Formularen durch Spambots gibt es imo noch zwei weitere Punkte, die
es zu berücksichtigen gilt:

- mehrfaches Senden durch browser-reload
- erneutes Senden nach history-back

Mal abgesehen davon, dass ich die Lösung von phiro grafisch sehr schick finde (wenn auch wenig
barrierefrei), kam eine solche Lösung für uns nicht infrage.

Wir haben uns für einen Ansatz entschieden, der einen Kompromiss zwischen Spamschutz und dem
Verhindern der genannten Useraktionen darstellt. Dazu haben wir z.b. dem Mail-Script, dass die
PHP-mail()-Funktion ausführt ein Teil nachgestellt, dass mittels md5() einen Schlüssel bildet
und diesen abspeichert. Vor dem Absenden des Formulars wird in jedem Fall der Schlüssel geprüft.
Existiert er, wissen wir, dass die Daten bereits gesendet wurden... Da die Daten bei reload bzw.
history-back aus dem Cach gezogen werden, kann ein erneutes Senden verhindert werden. Als Spam-
schutz taugt das nur bedingt. Werden die gesendeten Daten geändert, bekommen wir natürlich auch
einen anderen md5-Wert...

@phiro...
history-back: das generierte Bild wird nochmals geladen,
reload bzw. nochmaliges Senden nach history-back: php-Fehlermeldungen zu fopen/fgets/fclose
sowie unlink...

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.

#10 http://hotcaptcha.com/

Eine weitere nette Variante von "KittenAuth". Wird von www.hotornot.com Bildern gespeist. Funktioniert allerdings noch nicht sonderlich gut in einem Test von mir, besonders bei den Männern.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#11 ebenfalls eine nette Idee (sicherlich nicht 100%ig gegen Bots, aber immerhin)

http://blog.mieo.de/2007/02/12/captcha-schnee-von-gestern/

die Idee dahinter ist das dynamische generieren von Formularnamen z.B.

Code

$postdata = $_POST;
foreach($postdata as $feld => $value) { // Array auslesen
if(strlen($feld) > 2 AND strlen($feld) < 6) // Feld mit Name der Länge 3-5
$name = $value;
if(strlen($feld) > 22 AND strlen($feld) < 33) // Feld mit Name der Länge 23-32
$nachricht = $value;
}

Greetz Lp

#12 .. *hihi* .. :oD .. Also das HotCaptcha iss zwar eine gute Idee und recht lustig.. aber auch ziemlich diskriminierend..

Manche würden vielleicht eher eine langweilige Omi erotisch finden.. :o) ..

#13 zum Thema Usability darf man auch mal gerne hier nachsehen:
http://www.tonsai.de/blog-english/2007/craziest-captchas-on-the-web/

... man kann es auch übertreiben!

Greetz Lp

#14 Mal eine Alternative zu kruden Bilderrätseln aller Art:
Math Comment Spam Protection Plugin
Ein Plugin frür Wordpress das dem User eine simple zufällig generierte Matheaufgabe stellt. Benötigt zwar Javascript ist aber sicher benutzerfreundlicher als die diversen kaum noch lesbaren Captchas.

Eine weitere Idee war das man vor dem Abschicken eines Kommentars/Formulars eine Checkbox anwählen musste, womit sich Bots lange schwer taten. Inzwischen sind sie dazu übergegangen einfach alle Checkboxen anzuwählen die es so gibt. Das kann man natürlich ausnutzen indem man zwei Checkboxen macht:
[x] Ich bin ein Bot
[x] Ich bin ein Mensch

Nun könnte ein Bot natürlich irgendwann lesen und erkennen was er anklicken muss, aber dann tauscht man einfach "Bot" durch "Maschine" aus und schon funktioniert das nicht mehr. Spam Filter lassen sich ja bis heute von den drei Millionen Schreibweisen von Viagra und Co. überlisten.

Ich denke einfache Methoden sind auf Dauer besser und effektiver als Captchas.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#15 Was haltet ihr eigentlich von ganz normalen Fragen in Textform?
Die Fragen müssen natürlich für jedes Board individualisiert werden. Ich denke im moment ist diese Möglichkeit ziemlich sicher.

Gibt es bereits Captchas in Java wie sieht es hier mit der Sicherheit aus?
Man könnte das Applet so bauen, dass es erstmal ein paar Sekunden rechnen muss,die Abfragen würden sich also deutlich reduzieren.
Lässt sich Java während der Laufzeit etwas unterschieben oder kann man etwas auslesen?
Nachteil ist natürlich das nicht jeder Java hat.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}