Captcha Usability: Probleme und Alternativen

Captcha UsabilitySeit es Captchas gibt – und das ist schon lange – wurden sie von Nutzern gehasst. Nicht ohne Grund: Sie stellen ein großes Usability- und Accessibilityproblem dar. Gerade in den letzten Jahren wurden die kleinen Rätsel immer schwieriger zu lösen, da sich die automatische Erkennung durch Computer stetig weiterentwickelte. Trotzdem kann an vielen Stellen nicht auf einen Schutz vor Spam-Attacken durch Bots verzichten werden.

Neben den klassischen Captchas mit verzerrtem Text gibt es jedoch auch andere Arten, wie etwa solche mit Bilderkennung oder interaktiven Spielen. Zudem existieren vollständig automatisierte Techniken zur Erkennung von Bots, etwa in Form von Honeypot-Feldern. Und im letzten Monat wurde Googles reCaptcha so verändert, dass in vielen Fällen nur noch ene einfache Checkbox von den Nutzern angehakt werden muss. Trotz all diesen Möglichkeiten empfiehlt sich, im Einzelfall abzuwägen und Captchas nur dann zu nutzen, wenn sie wirklich nötig sind.

Usability-Probleme von klassischen Captchas

Klassischerweise bestehen Captchas aus einer oder mehreren Zeichenketten, deren Lesbarkeit durch Verzerrung, Hintergrundmuster oder andere Einflüsse verringert wird. Ziel dabei ist natürlich, dass der Text so nicht mehr von Bots zu erkennen ist, für Menschen jedoch schon.

Abb. 1: Ein quasi unmögliches Captcha

Abb. 1: Ein quasi unmögliches Captcha

Leider gibt es eine Reihe von Problemen mit dieser Art von Captchas:

  • Algorithmen werden immer besser: Da die Texterkennung durch Computer immer besser wird, müssen die Rätsel immer schwieriger gestaltet werden, um noch einen Effekt zu haben. Ein Algorithmus von Google erreichte selbst bei Begriffen mit stärkster Verzerrung eine Erfolgsquote von über 99 %.
  • Für Menschen werden Captchas immer schwieriger: Im gleichen Zug werden damit die Captchas natürlich für Menschen immer schwieriger zu lösen (siehe Abb. 1). Laut einer Studie der Stanford University lagen schon 2010 die Erfolgsquoten klar unter den oben genannten 99 %. Selbst bei optimistischer Berechnung wurden im Durchschnitt nur 84 % der Captchas korrekt gelöst. Zur Belustigung: Top 5 most difficult Captchas.
  • Das Lösen benötigt viel Zeit: Dieser ansteigende Schwierigkeitsgrad von Captchas führt zu einem deutlich erhöhten Zeitaufwand für die Nutzer. Häufig werden mehrere Versuche benötigt oder Nutzer fordern direkt ein neues Captcha an. Nach der oben verlinkten Studie lag die durchschnittliche Zeit zum Lösen eines Captchas bei fast 10 Sekunden.
  • Die Accessibility ist sehr gering: Noch problematischer sind Captchas für Nutzer mit besonderen Anforderungen und Einschränkungen, etwa Sehbehinderungen. Klassische Captchas sind laut W3C in keinster Weise barrierefrei. Teilweise werden Audio-Captchas als Alternative angeboten, die jedoch auch nicht für alle Nutzer lösbar sind und zudem noch geringere Erfolgsquoten aufweisen.
  • Captchas verringern die Conversion Rate: Als Folge all dieser Probleme brechen Nutzer vermehrt ab, wenn sie auf ein Captcha treffen. In einer Studie war die Conversion Rate bei Verwendung eines Captchas um 3 % geringer.

Neue Arten von Captchas

Abb. 1: Gamification mit dem SweetCaptcha

Abb. 2: Gamification mit dem SweetCaptcha

Neben klassischen Text-Captchas gibt es aber auch eine Reihe von anderen Arten, die zumindest einige der genannten Probleme beheben:

  • Logische Fragen: Rechenaufgaben oder andere logische Aufgaben wie „Wie viele Farben sind in der Liste Lila, Pinguin, Blau, Weiß und Rot?“ haben eine höhere Accessibility, da sie von Screenreadern verarbeitet werden können. Jedoch sind diese Rätsel auch immer leichter von Algorithmen wie etwa Wolfram Alpha zu lösen. Ein Webservice für solche Captchas ist textcaptcha.com.
  • Bildererkennung: Bilder zu verstehen und ein- oder zuzuordnen fällt Menschen prinzipiell leichter, als ein klassisches Captcha. Jedoch hat diese Technik ähnliche Accessibility-Probleme. Beispiele für solche Captchas sind etwa ConfidentCaptcha und die mobile Variante des neuen reCaptcha.
  • Gamification: Um Captchas weniger nervig zu gestalten, können diese wie kleine Mini-Spiele aufgebaut werden, mit denen der Nutzer interagieren kann (siehe Abb. 2). Auch dabei leidet jedoch die Accessibility. Vertreter dieser Kategorie sind SweetCaptcha und FunCaptcha.

Alternative Ansätze zur Erkennung von Bots

Egal wie ein Captcha gestaltet ist, das Grundproblem lässt sich nicht beheben: Es ist immer eine zusätzliche Aktion notwendig, die für den Nutzer eigentlich nicht zielführend ist. Das beste Captcha ist eigentlich kein Captcha. Deshalb gibt es einige Ansätze, die komplett automatisiert funktionieren und normale Nutzer gar nicht beeinträchtigen:

  • Honeypot-Felder: Ursprünglich 2007 von Phil Haack entwickelt, basiert diese Technik auf Formularfeldern, die per CSS oder Javascript versteckt werden. Nutzer füllen diese somit nicht aus. Bots lesen jedoch meist den HTML-Code einer Website und füllen diese Felder deshalb trotzdem aus, wodurch sie zu erkennen sind.
  • Zeitbegrenzung: Echte Nutzer brauchen immer eine gewisse Zeit, um ein Formular auszufüllen. Bots jedoch schaffen dies quasi augenblicklich und haben auch ein Interesse daran, Formulare so schnell wie möglich abzuschicken. Durch die Messung der Zeit zwischen dem Aufruf der Seite und dem Absenden des Formulars lassen sich somit Bots erkennen.
  • Blacklists und inhaltsbasierte Erkennung: Der bei WordPress integrierte Kommentarfilter Akismet etwa sammelt Daten über Kommentarspam auf Blogs und versucht so Einträge von Bots automatisiert zu erkennen.

Googles „No Captcha reCaptcha“

Letzten Monat stellte Google sein reCaptcha auf eine neue Technik um – das so genannte „no Captcha“. Dieses setzt nun in den meisten Fällen auf andere Faktoren als das eigentliche Captcha, was Google als „advanced risk analysis techniques“ bezeichnet. Die meisten Nutzer sehen somit nur eine einfache Checkbox (siehe Abb. 3).

Abb. 2: Das neue reCaptcha von Google

Abb. 3: Das neue reCaptcha von Google

In Fällen, in denen die Risikoanalyse nicht eindeutig einen Menschen erkennen konnte, erschien zusätzlich das altbekannte Text-Captcha (siehe Abb. 4). In meinen Tests konnte ich dies etwa mit einem anonymen Browserfenster provozieren. Ausprobieren lässt sich das neue reCaptcha etwa auf wordpress.org.

Abb. 3: Bei fehlgeschlagener Risikoprüfung erscheint ein normales Captcha

Abb. 4: Bei fehlgeschlagener Risikoprüfung erscheint ein normales Captcha

Aber was steckt hinter der „advanced risk analysis techniques“? Genau weiß das wohl nur Google, aber laut unterschiedlichen Quellen spielen mindestens folgende Faktoren eine Rolle:

  • Cookies
  • IP-Adresse
  • Mausbewegungen und andere Interaktionen vor, während und nach dem Captcha
  • Dauer des Aufenthalts

Einen schönen Eindruck des neuen reCaptchas gibt es auch in Googles Video:

Fazit: Notwendigkeit und Alternativen im Einzelfall prüfen

Mit dem neuen reCaptcha zeigt Google, wo die Reise hingehen sollte: Weg von Captchas. Sie hatten schon immer Usability- und Accessibilityprobleme, die mit den steigenden Fähigkeiten von Bots nur noch schlimmer wurden. Das Ziel sollte nicht sein, ein Captcha zu erschaffen, das nicht von Bots, aber von Nutzern lesbar ist, sondern das Captcha an sich soweit es geht verschwinden zu lassen. Die Analyse und Boterkennung muss in den Hintergrund treten und für die Nutzer möglichst unsichtbar sein.

Einen Grund für ein klassisches, schwer zu lösendes Captcha gibt es jetzt eigentlich nicht mehr. Trotzdem sollte man nicht einfach blind Googles reCaptcha einbauen, denn auch dieses kann noch eine Barriere für Nutzer darstellen. Selbst ein einfacher Klick ist noch ein Klick zuviel – und in vielen Fällen, etwa beim anonymen Browsen, muss der Nutzer doch noch etwas eingeben.

Vielmehr sollte geprüft werden, ob überhaupt eine solch drastische Maßnahme nötig ist. In vielen Fällen reichen auch vollständig automatisierte und für die Nutzer unsichtbare Lösungen wie Honeypot-Felder und Zeitbegrenzungen aus, um quasi alle Bots fernzuhalten. Nur wenn diese nicht ausreichen ist es Zeit für ein Captcha.

Was ist Ihre Meinung zum Thema Captchas? Haben Sie vielleicht noch gute oder auch besonders negative Beispiele für Spamschutz? Ich freue mich auf Ihre Kommentare.

Portraitfoto: Jan Pohlmann

Jan Pohlmann

UX Designer

BMW AG

Bisher veröffentlichte Beiträge: 60

4 Kommentare

  • Moin Moin aus Schleswig Holstein…
    ich habe bis jetzt gute Erfahrung mit den Page-Restrictor-Script von http://www.bot-trap.de gemacht….

  • Usability User

    Hi,

    ich persönlich habe noch keine so guten Erfahrungen mit Googles “No Captcha reCaptcha” machen können. Im Gegenteil für mich ist hierdurch sogar ein Aktionsschritt hinzugekommen. Da ich in meinen Test bisher nie den Fall hatte, dass ein einfaches anwählen der Checkbox ausreicht und somit immer noch das „alte“ Captcha erscheint. Mir ist nicht klar warum dies so ist, da ich die genaue Logik hinter dem neuen Captcha nicht kenne. Eventuell liegt es an meinen Aktionen (z.B. schnelle Abarbeitung des Formulars) oder eingegeben Formulardaten oder auch an installierten Plugins?

    Grüße

  • Eventuell nimmt Ihr Browser keine Cookies an? Ich habe bemerkt, dass beim anonymen Browsen bei mir auch immer die Abfrage kommt. Ansonsten reicht immer das Häkchen.

  • Pingback: Top-Themen der UX-Welt in den letzten 30 Tagen - Usabilityblog.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.