Google reCAPTCHA ist ein kostenloser Dienst, der von Google betrieben wird, um Websites vor Spam, Missbrauch und betrügerischen Aktivitäten zu schützen.
Seine Hauptfunktion besteht darin, zu unterscheiden, ob eine Handlung im Internet von einem Menschen oder von einem automatisierten Computerprogramm (Bot) vorgenommen wird.
Folgende Faktoren können dazu führen, dass ein regulärer Login fälschlicherweise als Bot-Zugriff eingestuft wird:
- Zu schnelles Ausfüllen: Ein Mensch braucht normalerweise einige Sekunden. Ein Bot kann die Felder in Millisekunden ausfüllen.
- Keine Mausbewegungen: Wenn die Login-Daten per Copy & Paste eingefügt werden und die Maus in der Zwischenzeit unbewegt bleibt, kann dies als maschinelles Verhalten interpretiert werden.
- Wiederholte Aktionen: Das wiederholte, schnelle und erfolglose Ausprobieren von Logins in kurzer Zeit kann als Brute-Force-Angriff eingestuft werden.
- Verwendung von VPNs, Proxys oder Tor-Netzwerken: Diese Dienste werden oft von Angreifern und Bots genutzt, um ihre Identität zu verschleiern. Die IP-Adressen dieser Dienste haben oft einen schlechten Ruf oder werden von vielen verschiedenen Nutzern geteilt. Das erhöht den Risiko-Score erheblich.
- Schlechte oder instabile Internetverbindung: Eine sehr langsame oder unterbrochene Verbindung kann dazu führen, dass die JavaScript-Dateien von reCAPTCHA nicht korrekt geladen werden oder dass das Verhalten des Nutzers unregelmäßig und damit verdächtig erscheint (z.B. lange Pausen zwischen den Klicks).
- Veraltete oder ungewöhnliche Browser: reCAPTCHA lernt das Verhalten gängiger, moderner Browser. Ein veralteter Browser oder ein exotischer Client, der sich nicht wie die Masse verhält, kann als Anomalie gewertet werden.
- Deaktivierte Cookies oder JavaScript: reCAPTCHA v3 benötigt Cookies und JavaScript, um das Nutzerverhalten zu tracken. Wenn diese deaktiviert sind, kann das System keine Daten sammeln und vergibt aus Sicherheitsgründen einen sehr niedrigen Score.
- Strenge Ad-Blocker oder Privacy-Erweiterungen: Einige Browser-Erweiterungen (wie z.B. NoScript, Privacy Badger oder uBlock Origin) sind so aggressiv, dass sie die reCAPTCHA-Skripte blockieren, da diese als Tracking-Dienst erkannt werden. Wenn das Skript nicht laufen kann, wird die Anfrage geblockt.