Captcha steht für „Completely Automated Public Turing test to tell Computers and Humans Apart". Es ist ein automatisierter Test, der Menschen von Bots unterscheiden soll, meist beim Absenden von Formularen, beim Login oder bei sensitiven Aktionen. Ziel ist, Spam, automatisierte Account-Erstellung, Brute-Force und Scraping zu erschweren.
Klassische Captchas zeigen verzerrte Buchstaben oder Bilder mit Aufgaben („Klicke alle Ampeln an"). Moderne Varianten wie reCAPTCHA v3, hCaptcha oder Cloudflare Turnstile arbeiten weitgehend unsichtbar. Sie analysieren Mausbewegungen, Tastatureingaben, Browser-Fingerprints und Reputation, um zu entscheiden, ob ein Anfrager menschlich ist. Nur in Zweifelsfällen wird eine Aufgabe eingeblendet.
Captchas sind ein Kompromiss zwischen Sicherheit und Bedienkomfort. Zu strenge Tests frustrieren echte Nutzer, zu nachsichtige werden von Bots umgangen. Für die meisten Websites ist eine moderne, niederschwellige Lösung sinnvoll, ergänzt um andere Schutzmechanismen wie Rate Limiting, E-Mail-Verifikation oder serverseitige Plausibilitätsprüfungen.