Google erweitert reCAPTCHA um eine neue Form der Nutzerüberprüfung. Anstelle von Ampeln, Fahrrädern oder Zebrastreifen auf Bildern müssen Nutzer in bestimmten Fällen künftig möglicherweise eine Handgeste vor der Kamera ausführen. Diese Funktion nennt sich „Hand Gesture Verification” und ist bereits in der offiziellen Google-Cloud-Dokumentation beschrieben.
Damit rückt reCAPTCHA noch stärker in Richtung einer biometrisch anmutenden Echtheitsprüfung. Google selbst stellt die Neuerung als Sicherheitsmaßnahme gegen immer bessere Bots dar. Gleichzeitig dürfte die Funktion bei vielen Nutzern für Skepsis sorgen, denn eine CAPTCHA-Abfrage mit Kamerazugriff fühlt sich deutlich persönlicher an als ein klassisches Bilderrätsel.
So funktioniert die neue Handgestenprüfung
Bei der neuen reCAPTCHA-Variante wird der Nutzer aufgefordert, eine bestimmte Handbewegung oder Geste vor der Kamera auszuführen. Dazu muss der Browser zunächst Zugriff auf die Kamera erhalten. Anschließend analysiert Google ein oder mehrere kurze Videos der Handbewegung.
Laut Googles Beschreibung geht es dabei nicht darum, ein dauerhaftes Videoarchiv der Nutzer anzulegen. Vielmehr soll das Video verarbeitet werden, um sogenannte Hand-Landmarken zu erkennen. Dabei handelt es sich um Koordinaten bestimmter Punkte an der Hand, darunter 21 Koordinaten von Fingerknöcheln. Mithilfe dieser Daten soll eine echte menschliche Bewegung von automatisierten oder künstlich erzeugten Eingaben unterschieden werden können.
Google betont, dass keine Audioaufzeichnung erfolgt. Die Videos sollen außerdem nicht mit der Identität des Nutzers verknüpft werden und nach Abschluss der Überprüfung automatisch gelöscht werden.
Warum Google reCAPTCHA verändert
CAPTCHAs stehen schon seit Jahren in der Kritik. Früher reichte es oft aus, verzerrte Buchstaben abzutippen oder einfache Bildaufgaben zu lösen. Inzwischen können moderne Bots, KI-Systeme und automatisierte Dienste diese Aufgaben jedoch deutlich besser bewältigen.
Das ist ein Problem für Webseitenbetreiber, denn reCAPTCHA wird unter anderem eingesetzt, um automatisierte Registrierungen, Spam, Credential-Stuffing, Fake-Accounts oder betrügerische Transaktionen einzudämmen. Da klassische Prüfmethoden immer leichter umgangen werden können, müssen Anbieter neue Signale nutzen, um echte Menschen von automatisierten Systemen zu unterscheiden.
Genau hier soll die Handgestenerkennung ansetzen. Eine echte Handbewegung vor einer Kamera ist nämlich schwieriger zu simulieren als ein Klick auf ein Bild. In der Theorie könnte das zumindest die Hürde für Bots erhöhen.
Datenschutz bleibt der kritische Punkt
Trotz Googles Zusicherungen dürfte diese Funktion für Diskussionen sorgen. Der entscheidende Unterschied zu bisherigen CAPTCHA-Varianten ist der erforderliche Kamerazugriff. Viele Nutzer empfinden es bereits als störend, wenn sie auf Webseiten wiederholt Bilderrätsel lösen müssen. Wenn eine Webseite dann auch noch Zugriff auf die Kamera verlangt, wirkt die Prüfung schnell unverhältnismäßig.
Google betont, dass die Videos ausschließlich zur Sicherheitsüberprüfung verarbeitet und nicht dauerhaft gespeichert oder an Dritte weitergegeben werden. Trotzdem bleibt die Frage, wie groß die Akzeptanz bei den Nutzern sein wird. Gerade auf einfachen Formularen oder Login-Seiten könnte die Abfrage der Kamera abschreckend wirken.
Barrierefreiheit: Google nennt Alternativen
Ein weiterer wichtiger Punkt ist die Barrierefreiheit. Nicht alle Nutzer können eine Handgeste vor der Kamera ausführen. Einige Geräte verfügen nicht über eine Kamera, andere Nutzer möchten die Kamera nicht freigeben und wieder andere können die geforderte Bewegung aus körperlichen Gründen nicht ausführen.
Google gibt an, dass weiterhin visuelle und Audio-Challenges angeboten werden sollen, falls Nutzer die Handgestenprüfung aus Gründen der Barrierefreiheit nicht abschließen können. Zudem arbeitet man an weiteren barriereärmeren und sichereren Alternativen.