Gestern in tiefster Nacht wurde mir das das Tic-Tac-Toe-CAPTCHA zugespielt. Dieser Vertreter ist eher etwas für den Bereich, in dem man wirklich mit gezielten Angriffen von Spammern oder schlimmerem rechnen muss.
Man beweist seine Menschlichkeit einfach durch einen Klick an die richtige Stelle, so dass Spieler X sein Spiel gewinnt. Wer darin zuerst nichts als Gekrakel erkennt, braucht nicht zu verzagen – nach kurzer Zeit fällt das Erkennen der Lösungen immer leichter. Der Entwickler liest mit und hat mich darum gebeten, euch zum kommentieren anzuregen. Also seid angeregt!
Meine Meinung ist, dass ich den praktischen Einsatz in dieser Form aus einem Grund für problematisch befinde. Dieses Captcha setzt mit der Maus etwas voraus, das nicht jeder zur Hand hat, so dass man aus Gründen der Barrierefreiheit um eine Fallback-Alternative wohl kaum herumkommen dürfte. Und die wäre vermutlich dann ein eher klassisches Captcha und damit ein (wahrscheinlich) leichteres Angriffsziel für den Spammer. Wenn man eine Möglichkeit finden könnte, das Captcha mit der Tastatur allein zu lösen, wäre das schon mal ein Problem weniger.
Kommentare (8)
macx ¶
5. Januar 2009, 11:58 Uhr
Ich erhalte beim Testen sehr oft ein „Test fail“. Das scheint also noch nicht so ausgereift zu sein. Zudem bezweifle ich die Sinnhaftigkeit. Gerade in Hinblick auf die Barrierefreiheit habe ich da starke Bedenken. Diese Anwendung könnte möglicherweise weitaus mehr Menschen überfordern, als eine Rechenaufgabe.
Captchas im Allgemeinen gehen mir gehörig gegen den Strich, und warum, zeigt diese Variante leider wieder einmal vorbildlich: Sie behindert echte Menschen eher, als dass SPAM vom Betreiber fern hält.
Greg ¶
5. Januar 2009, 12:03 Uhr
Ich finde die Idee super, mal was anderes als die nervigen Buchstaben zu identifizieren! Mit dem Accessability-Problem hast du natürlich Recht. Außerdem sollte das imho nicht eingesetzt werden, wenn man es öfter eingeben muss. Also alle paar Tage ist das ja ganz erfrischend, aber wenn ich das bei jedem Blogpost machen müsste, würde es mich schon nerven!
Torsten ¶
5. Januar 2009, 12:18 Uhr
Ein unglaublich nervendes Captcha. Ich halte auch Captchas nur für bedingt sinnvoll. Der Ansatz mit Tic Tac Toe ist witzig aber mehr auch nicht. IMHO sollte ein Captcha eher in Richtung Turing-Test gehen. So in der Art: "Ich stecke einen Schlüssel in das Schloss. Ist das Schloss ein Gebäude?" Mal abgesehen, dass das zu einfach wäre, da die Antwort ja oder nein lautet, wird hier aber klar, dass es schwierig werden würde ein Skript zu schreiben, welches herausfindet, was mit Schloss gemeint ist. Gebäude oder Türschloss? Und genau darauf basiert ja der Turing-Test (und die Probleme von automatischen Übersetzungssystemen).
Das Franz Beckenbauer-Captcha hier ging daher auch in eine sehr schöne Richtung. Überfordert nicht und ist trotzdem effektiv. Kombiniert damit, dass man erst Absenden kann, wenn man auf Vorschau geklickt hat, wie z.B. bei praegnanz.de (was auch aus anderen Gründen sinnvoll ist -> Tippfähler ;-) hat man ein richtig gutes Anti-Spam-Team. Dahinter noch so etwas wie Akismet und man sollte eigntlich recht spamfrei leben können.
Nochmal zum TTT-Captcha. Ich brauche einfach zu lange, um das Ding zu lösen und ich muss nachdenken dazu. Keine guten Voraussetzungen. Ich will über meinen Kommentar nachdenken und nicht über das Captcha.
Kevin ¶
5. Januar 2009, 12:45 Uhr
Zur Accessability:
Wenn er beispielsweise 9 gut erkennbare TicTacToe's macht und nur eins davon lösbar wäre, könnte er anhand einer Zahl das Captcha lösbar machen.
Dummerweise wäre dann das Captcha auch erratbar für Bots ;/
Ansonsten find ich den Ansatz mal super-> Daumen hoch
Frank-Peter Karges ¶
5. Januar 2009, 12:46 Uhr
Hü:bsche Idee.
Zum Ausprobieren versuch ich's ja gerne 10 Mal, bis es klappt.
Wenn ich's ö:fter machen mü:sste wü:rde es mich nerven.
dp ¶
5. Januar 2009, 13:59 Uhr
Zitat Torsten:
Wie du schon angemerkt hast, sind ja/nein-Fragen für CAPTCHAs leider nicht so gut geeignet. Denn davon braucht man schon ca. 10 Fragen gleichzeitig, um einen Rate-Angriff halbwegs ins Leere laufen zu lassen -- und dann nervt ein solches CAPTCHA mit Sicherheit auch (auch kaum unter drei Sekunden lösbar).
Der Vorschlag hat aber noch ein anderes Problem: Per Definition ist ein CAPTCHA automatisiert, d.h. es genügt nicht drei oder vier solcher Fragen hart zu kodieren. Genau hier stehst du dann vor dem gleichen Problem, wie ein potentieller Angreifer auf dieses CAPTCHA, denn irgendwie müssen solche Testfragen automatisch generiert und die korrekte Lösung dazu bereitgehalten werden. Wenn einer Maschine das mit einem solchen Text-CAPTCHA gelingt, ist der passende Angriff dazu auch nicht mehr weit, was die Idee gewissermaßen ad absurdum führt.
Für eine kleine bis mittelgroße Seite kann man natürlich argumentieren, dass ein echtes CAPTCHA nicht notwendig ist. Den "Franz-Beckenbauer-Trick" benutze ich selbst und er ist zugegebenermaßen ziemlich effektiv. Aber sobald jemand gezielt angreifen möchte, hat man ein Problem und kommt nicht mehr um eine Automatisierung herum.
Der Punkt mit der Barrierefreiheit ist valide. Es dürfte schwierig bis unmöglich werden, das in den Griff zu bekommen.
Mogoh ¶
5. Januar 2009, 20:16 Uhr
Ein sehr cooles Captcha. Ich finde die Idee sehr gut. Ich habe überigens ca. 10 mal das Captcha ausprobiert, nie einen fehler gemacht und am ende niemals länger als zwei sekunden nachdenken müssen. Mit dem Captcha bin ich auf jeden fall schneller als alle anderen die ich kenn, was ich sehr angenehm finde. :)
grüße
Mogoh
Fabian ¶
5. Januar 2009, 21:16 Uhr
Zitat Frank-Peter Karges:
Wer versucht denn heute noch Umlaute in HTML-Entities zu schreiben - in Zeiten von UTF-8 :P
Zum Thema:
Ich hatte bei meinen 10 Versuchen keine Problem, das fehlende Kreuz zu finden. Zweimal habe ich jedoch wohl zu weit aus der "Klickzone" geklickt, so dass es als falsch gewertet wurde. Vielleicht sollte man diese "Klickzone" noch einen µ größer machen.
Und vielleicht könnte man die verschiedenen Spielfelder auch in diversen Farben darstellen?