Captcha sinnvoll einsetzen - der Spagat zwischen Usability und Sicherheit

Problematisch sind SPAM-Bots vor allem, weil:

• Passwörter mithilfe sogenannter Brute-Force-Attacke gehackt werden können
• der Spam in Foren, Gästebüchern, etc. dadurch weiter zunimmt
• die Manipulation von durch Benutzerinteraktion ermittelter Daten möglich wird
• Spam-Mails über Web-Formulare verschickt werden 
• unglaublich große (und unnötige) Datenmengen generiert werden

Mehrere alternative Ansätze zu Captchas finden Sie in diesem Artikel:

Erhöhen Sie die Usability und Conversion-Rate Ihrer Webseite durch konsequente Vermeidung von Captchas

Captchas sind mehr oder minder gut geeignet, um einen Menschen von einer Maschine zu unterscheiden. Im Falle unserer Formulare bedeutet das also, wir stellen dem Ausfüllenden eine Frage, die nur ein Mensch beantworten kann. Wer hier tiefer in die Materie einsteigen möchte, dem sei der entsprechende Artikel bei Wikipedia ans Herz gelegt: http://de.wikipedia.org/wiki/CAPTCHA

Das Ergebnis dieser Überlegung stellt jedoch häufig nicht nur die Maschine, sondern eben auch den Menschen vor nahezu unlösbare Aufgaben. Die Nachteile der Captchas überwiegen also häufig ihre Vorteile:

• Stark eingeschränkte Usability
• Verhindern teilweise das Absenden der Formulare
• Keine Barrierefreiheit, sehbehinderte Menschen werden ausgeschlossen
• Teilweise auch für Menschen unlösbare Aufgaben

Und mal ganz abgesehen davon: Wann immer ich meine Daten irgendwo eingeben muss, tue ich das eh mit einem gewissen Widerwillen (schon wieder registrieren/ Daten eingeben/ Formulare ausfüllen). Wenn ich dann auch noch mehr Zeit mit dem Entziffern einer unleserlichen Ziffer verbringe als mit dem Ausfüllen des restlichen Formulars, dann lasse ich es doch lieber gleich.  

Sie riskieren also, dass ein Besucher die Bestellung/ Registrierung eben nicht zu Ende führt, sondern lieber zur Konkurrenz geht (die haben nämlich kein oder ein wesentlich einfacheres Captcha). 

Klar, es gibt Formulare, bei denen Sie sicher gehen müssen, dass hier kein Programm, sondern ein Mensch am Werk ist. Und ein Captcha ist ein schnelles und einfaches Mittel, um diesem Problem zumindest mittelfristig Herr zu werden. Behalten Sie aber immer die Tatsache im Auge, dass Sie Ihrem Besucher/ Kunden keine Freude machen, sondern einen Mehraufwand aufbürden, der unter Umständen auch von Ihnen erbracht werden könnte.

Hinweise zur Nutzung von Captchas:

• Erklären Sie, was vom Besucher erwartet wird. Captchas sind nämlich mitnichten selbsterklärend!
• Sorgen Sie dafür, dass die restlichen Formulareingaben nach einer fehlerhaften Eingabe des Captchas nicht wieder von vorne eingegeben werden müssen (sticky forms)
• Verwenden Sie eine sichere und benutzbare Captcha-Implementierung (siehe Links weiter unten)
• Stellen Sie Alternativen bereit (akustische Captchas etc.)