Was ist reCAPTCHA v3?
Am 29. September 2018 hat Google die dritte und neueste Version von reCAPTCHA herausgebracht – vor genau einem Jahr. Google hat reCAPTCHA v3 damit beworben, die „User-Friction“ zu eliminieren. Auf gut Deutsch: v3 läuft unsichtbar. Kein Frust mehr wegen falsch ausgewählter Ampeln oder Brücken. Nicht einmal eine Checkbox klicken ist noch nötig. Aber wenn der User keinen „Menschlichkeitstest“ mehr besteht – woher weiss reCAPTCHA dann, ob ein Mensch oder ein Bot am Werk ist? Indem Google tut, was es am besten kann: Nutzerverhalten analysieren.
Wie funktioniert reCAPTCHA v3?
Bereits in v2 war nicht nur das Auswählen der Bilder entscheidend, sondern das „organische“ Verhalten des Mauszeigers. Um reCAPTCHA v3 auf deiner Website zu verwenden, muss ein JavaScript Code-Snippet integriert werden. Es erstellt einen Report, der jedem User aufgrund seiner Interaktionen einen „Risiko-Score“ von 0 bis 1 zuteilt. 0 ist die höchste Risikostufe, 1 die tiefste. Google empfiehlt dabei, reCAPTCHA nicht nur dort einzubinden, wo es direkt gebraucht wird – also beim Login oder Formular – sondern an möglichst vielen Stellen der Website. Je mehr Google über das Verhalten des Users weiss, desto besser kann es einschätzen, ob gerade ein Mensch oder eine Maschine surft.
Vorteil von v3 gegenüber v2 – oder Nachteil?
Damit verschiebt sich die Verantwortung: Der Webbetreiber muss den Traffic selbst überwachen. Keine Klick-Box, keine Puzzles mehr für den User – dafür mehr Aufwand für den Webmaster. Er entscheidet selbst, welcher Score hoch genug ist, um eine Aktion als menschlich durchgehen zu lassen. Die Empfehlung liegt bei einem Standardwert von 0.5 – eher ein Richtwert als eine universelle Messlatte.
Wer reCAPTCHA v3 aber nur an den relevanten Stellen einbindet, riskiert ein bekanntes Problem. Mehrere User berichten, dass selbst beim umfassenden Einbinden auf allen Seiten folgende Meldung erscheint:
Die Scores für diese Seite sind möglicherweise nicht genau, bevor sie mit genug Traffic laufen.
Die Daten werden also analysiert – aber verlässlich sind sie deshalb noch nicht.
Was passiert mit einem „riskanten“ Benutzer?
Erst einmal nichts. Zusätzliche Prüfungen, die den Nutzer auffordern, etwa seine E-Mail zu verifizieren, müssen manuell eingerichtet werden.
Wenn eine Aktivität als verdächtig eingestuft wird, gibt es für den User keinen automatischen Rückfallmechanismus, um zu beweisen, dass er doch ein Mensch ist. Lieber lässt man ihn eine Checkbox anklicken oder ein Puzzle lösen, als ihn direkt zu blockieren. Nur: Genau das Abschaffen dieses Nachweises ist ja das Ziel von v3.
Dass ein User von einem Formular abgewiesen werden könnte, weil Google ihn aufgrund undurchsichtiger Scores aussortiert hat, klingt nach einem Conversion-Alptraum. Ob und wie oft das tatsächlich passiert, ist – wie so oft bei Google – von aussen kaum zu beurteilen.
Woher kommt eigentlich der Name CAPTCHA?
CAPTCHA steht für Completely Automated Public Turing test to tell Computers and Humans Apart – zu Deutsch: vollautomatisierte, öffentliche Turingtests, um Computer und Menschen zu unterscheiden. Den Turingtest hat der britische Mathematiker Alan Turing bereits 1941 vorgeschlagen. Es geht darum, ob ein Mensch erkennen kann, ob er mit einem anderen Menschen oder einer Maschine kommuniziert. Oft wird der Test fälschlicherweise als Nachweis beschrieben, ob eine Maschine „denken“ könne. Turing selbst nannte eine solche Frage „absurd“.
reCAPTCHA v3 ist ein sinnvolles Werkzeug für grosse Websites mit viel Traffic. Für den User ist das Erlebnis deutlich angenehmer. Der Webmaster im Hintergrund hat dafür mehr Arbeit: Reports auswerten, Scores kalibrieren, Moderation einrichten. Und man muss bereit sein, Google noch mehr Daten zu liefern. Bei der Genauigkeit der Scores und der Transparenz über ihre Entstehung bleibt noch einiges offen – auf Antworten von Google zu warten, war bislang selten eine lohnende Strategie.