Zum Hauptinhalt springen

reCAPTCHA v3

reCAPTCHA v3 ist Googles unsichtbares CAPTCHA-System mit Risiko-Scoring, das Seiteninteraktionen kontinuierlich überwacht und einen Fließkommawert zwischen 0,0 und 1,0 zurückgibt — der die Bot-Wahrscheinlichkeit angibt —, ohne dem Nutzer jemals eine explizite Aufgabe zu präsentieren.

Definition

reCAPTCHA v3 ist die dritte Hauptversion von Googles CAPTCHA-Dienst, veröffentlicht im Oktober 2018. Anders als seine Vorgänger — die Nutzer baten, ein Kästchen anzuklicken oder Bildrätsel zu lösen — ist v3 vollständig passiv. Es läuft im Hintergrund des Browsers, beobachtet Nutzerinteraktionen über die Seite und erzeugt einen numerischen Risiko-Score, den der Webseitenbetreiber verwendet, um zu entscheiden, wie die Sitzung zu behandeln ist. Ein Score von 1,0 repräsentiert hohe Sicherheit, dass der Besucher ein Mensch ist; ein Score von 0,0 deutet nahezu sicher auf automatisierten Verkehr hin[1].

Das System baut auf der Infrastruktur von reCAPTCHA v2 auf, beseitigt jedoch die Reibung expliziter Nutzeraufgaben. Googles erklärtes Ziel war es, die „Ich bin kein Roboter”-Interaktion für die überwiegende Mehrheit legitimer Nutzer vollständig zu eliminieren — was Warenkorbabbrüche und Formular-Abbrüche reduziert, während die Bot-Erkennungsabdeckung erhalten oder verbessert wird.

Funktionsweise

reCAPTCHA v3 arbeitet über eine JavaScript-Bibliothek, die von https://www.google.com/recaptcha/api.js geladen wird. Sobald sie geladen ist, beginnt sie, passiv einen Verhaltens-Fingerprint für die aktuelle Sitzung zu sammeln. Die erfassten Signale umfassen Mausbewegungs-Trajektorien, Scrollverhalten, Timing-Muster zwischen Tastenanschlägen, die Sequenz von DOM-Interaktionen, das Alter und die Aktivität des Google-Konto-Cookies im Browser (sofern vorhanden) und die Netzwerkeigenschaften der ursprünglichen Verbindung.

Wenn der Webseitenbetreiber eine bestimmte Aktion bewerten möchte — etwa eine Formularübermittlung oder einen Klick auf eine Vote-Schaltfläche —, ruft er grecaptcha.execute(siteKey, {action: 'vote'}) auf. Dies löst Googles Risikoanalyse-Infrastruktur aus, einen Score für die Sitzung zu berechnen und ein signiertes Token (ein JSON Web Token) an den Browser zurückzusenden. Das Token wird dann zusammen mit den Formulardaten übermittelt.

Auf der Serverseite sendet die empfangende Anwendung das Token an Googles Verifizierungs-Endpoint unter https://www.google.com/recaptcha/api/siteverify, zusammen mit dem geheimen Schlüssel der Webseite. Die Antwort von Google enthält den numerischen Score, einen Zeitstempel, den Aktionsnamen und eine Hostname-Bestätigung. Der Anwendungsentwickler legt einen Schwellenwert fest — üblicherweise 0,5 —, unterhalb dessen Übermittlungen blockiert, zur zusätzlichen Überprüfung markiert oder an eine sekundäre Aufgabe wie reCAPTCHA v2 weitergeleitet werden.

reCAPTCHA Enterprise, die kostenpflichtige Stufe verfügbar über Google Cloud, erweitert v3 um zusätzliche Signale, Score-Erklärungen aufgeschlüsselt nach beitragenden Faktoren, Account-Defender-Funktionen und Service-Level-Agreement-Garantien.

Wo Sie ihm begegnen

reCAPTCHA v3 ist in einer breiten Palette von Web-Properties eingesetzt, bei denen reibungslose Verifizierung Priorität hat. Wettbewerbs- und Sweepstakes-Plattformen integrieren es am Stimmabgabe-Endpoint und am Konto-Registrierungsformular. E-Commerce-Plattformen verwenden es beim Checkout, um Credential Stuffing zu verhindern. Nachrichtenpublikationen setzen es an Kommentar-Übermittlungs-Endpoints ein. Finanzdienstleister wenden es bei Passwort-Reset- und Geldtransfer-Flows an. Ticketverkaufsplattformen nutzen es, um Scalper-Bots während stark nachgefragter On-Sales zu verlangsamen[2].

Da v3 unsichtbar ist, ist seine Anwesenheit auf einer Seite für gelegentliche Nutzer nicht erkennbar — nur Entwickler, die den Seitenquelltext untersuchen oder Netzwerkverkehr überwachen, bemerken die recaptcha-API-Aufrufe.

Praktische Beispiele

Ein regionaler Fotografie-Wettbewerb, gehostet auf einer maßgeschneiderten Microsite, integriert reCAPTCHA v3 an seinem Vote-Endpoint. Jede Stimmabgabe löst einen grecaptcha.execute-Aufruf aus. Übermittlungen, die unter 0,3 punkten, werden stillschweigend verworfen; Übermittlungen zwischen 0,3 und 0,5 werden zur Batch-Überprüfung am Wettbewerbsende protokolliert; Übermittlungen über 0,5 werden sofort erfasst. Der Wettbewerbsbetreiber überprüft die zurückgehaltenen Übermittlungen und disqualifiziert solche, die Geräte-Fingerprints teilen oder aus konzentrierten IP-Bereichen stammen.

Eine bundesweite gemeinnützige Organisation veranstaltet einen Förderwettbewerb, bei dem öffentliche Stimmen einen Teil der Mittelzuteilung bestimmen. Die Plattform verwendet reCAPTCHA v3 in Kombination mit E-Mail-Bestätigung. Der CAPTCHA-Score wird mit jedem Stimmrekord gespeichert, was es dem Administrator erlaubt, die Daten nach Wettbewerbsende neu zu schwellen — und damit die Bot-Ablehnungsempfindlichkeit retroaktiv basierend auf der beobachteten Score-Verteilung anzupassen.

Ein Universitäts-Studenten-Auszeichnungsprogramm setzt reCAPTCHA Enterprise ein, um die Score-Erklärungen zu nutzen. Das Audit-Log zeigt, dass eine Welle niedrig bewerteter Stimmen für eine Nominierung aus einem einzigen Subnetz stammt, und die Stimmenzählung des Eintrags wird vor Bekanntgabe der Sieger entsprechend angepasst.

Verwandte Konzepte

reCAPTCHA v3 steht neben früheren CAPTCHA-Generationen im selben Erkennungsökosystem. Der Basiseintrag zu reCAPTCHA deckt v1- und v2-Mechanik ausführlich ab. hCaptcha und Cloudflare Turnstile sind konkurrierende Systeme mit unterschiedlichen Trade-offs hinsichtlich Privatsphäre, Aufgabentyp und Anbieterabhängigkeit. Verhaltensbiometrie beschreibt die breitere Kategorie der passiven Interaktionsmessung, die der Scoring-Methodik von reCAPTCHA v3 zugrunde liegt.

Einschränkungen / Hinweise

reCAPTCHA v3 delegiert die Risiko-Schwellenwertentscheidung vollständig an den Webseitenbetreiber, was Inkonsistenzen über Implementierungen hinweg schafft. Eine Webseite, die ihren Schwellenwert auf 0,3 setzt, akzeptiert wesentlich mehr Bot-Verkehr als eine, die ihn auf 0,7 setzt. Google veröffentlicht die spezifischen Signale oder Gewichtungen hinter dem Score nicht, was unabhängiges Auditing unmöglich macht. Da das System zudem teilweise auf Google-Konto-Telemetrie angewiesen ist, können Nutzer, die nicht in Google-Konten eingeloggt sind — oder Browser verwenden, die Google-Cookies blockieren —, niedrigere Scores erhalten, als ihr Verhalten verdienen würde, was potenziell Falsch-Positive für legitime Wähler auslöst[3].

Quellen

  1. Google Developers — reCAPTCHA v3: https://developers.google.com/recaptcha/docs/v3
  2. Wikipedia — reCAPTCHA: https://en.wikipedia.org/wiki/ReCAPTCHA
  3. Google Cloud — reCAPTCHA Overview: https://cloud.google.com/recaptcha/docs/overview

Weitere CAPTCHA-Guides

5mehrcaptchaArtikel · praktische Guides, Tieftauchgänge, Fallstudien. Auswahl rotiert.

Alle captcha Artikel (5) → Alle durchsuchen 60 Artikel
Victor Williams — founder of Buyvotescontest.com
Victor Williams
Online · Antwort in 5 Min

Hi 👋 — schick die Wettbewerbs-URL und ich melde mich binnen einer Stunde mit Preis. Karte noch nicht nötig.

💬 Live-Chat öffnen ✈️ Chat in Telegram 📋 Bestellen oder E-Mail an [email protected]