Künstliche Intelligenz überlistet Captcha-Sicherheitstests

Computer-Softwares werden immer besser darin, Menschen nachzuahmen. (Symbolbild: Getty Images)


Mit Captcha-Tests wollen Website-Betreiber ihre Seiten vor automatisierten Bots schützen. Der als zuverlässig eingeschätzte Security-Check konnte nun jedoch getäuscht werden.

Google, PayPal & Co. müssen sich bald vermutlich nach einem neuen Sicherheitstest umschauen: Die bisher eingesetzten Captcha-Checks konnten nun nämlich von Computern entschlüsselt werden.

Captcha (kurz für „Completely Automated Public Turing Test To Tell Computers And Humans Apart“) wird seit den späten Neunzigern eingesetzt, um Webseiten vor automatisierten Bots zu schützen. Bei dem Test werden dem Nutzer beliebige verfremdete Buchstaben- und Zahlenkombinationen oder Bilder angezeigt, die er entschlüsseln muss, um seine Aktion, etwa das Anlegen eines Benutzerkontos, auf einer Internetseite beenden zu können.

Bisher glaubte man, dass die Entschlüsselung dieser Captcha-Codes lediglich dem menschlichen Gehirn möglich sei. Die Forscher des kalifornischen Unternehmens Vicarious, das finanziell von Amazon-Gründer Jeff Bezos und Facebook-Chef Mark Zuckerberg unterstützt wird, bewies nun jedoch das Gegenteil.

Wie in der Fachpublikation „Science“ erklärt wird, kann der von den Forschern entwickelte Algorithmus Zahlen und Buchstaben an ihrer Form erkennen. Dazu haben sie ein „rekursives kortikales Netzwerk“ (RCN) geschaffen, das die Hirnaktivitäten von Menschen imitiert. Genau, wie das menschliche Gehirn in der Lage ist, verfremdete Objekte durch die Analyse von Formen und Texturen zu identifizieren, kann das RCN Pixel analysieren, um Formen und letztendlich Objekte zu erkennen.

Bereits 2013 berichtete Vicarious, dass die künstliche Intelligenz des Unternehmens die Captcha-Tests von Google, Yahoo, PayPal und Captcha.com mit einer Treffsicherheit von 90 Prozent entschlüsseln konnte. Die Tests wurden anschließend schwieriger gestaltet, in ihrem neuen Bericht erklären die Forscher jedoch, dass sie es erneut geschafft haben, diese zu überlisten. Googles reCaptcha konnte demnach mit einer Erfolgsquote von 66,6 Prozent entschlüsselt werden, die Tests von BotDetect und PayPal mit 64,4 bzw. 57,1 Prozent.

„Im Moment gibt es keine Angriffe auf Captcha, aber innerhalb von drei bis vier Monaten wird alles, was Forscher entwickeln, zum Mainstream. Die Tage von Captcha sind also gezählt“, erklärt der Cyber-Security-Entwickler Simon Edwards gegenüber „BBC“. „Diese Technologie gibt es schon sehr lange. Es muss eine sicherere Version von Captcha geschaffen werden.“