Skip to content

Captcha-Sicherheit

Überblick

CrispyCMS verwendet Altcha als moderne, datenschutzfreundliche Captcha-Lösung zum Schutz vor automatisierten Angriffen und Spam.

Was ist Altcha?

Altcha ist eine innovative Captcha-Alternative, die ohne störende Rätsel oder Bilderkennungsaufgaben auskommt. Stattdessen nutzt sie kryptografische Herausforderungen, die im Hintergrund gelöst werden.

Vorteile von Altcha

Benutzerfreundlichkeit

  • Keine visuellen Rätsel - Benutzer müssen keine Bilder auswählen oder Text eingeben
  • Barrierefrei - Funktioniert mit Screenreadern und anderen Hilfstechnologien
  • Schnell - Automatische Hintergrundverarbeitung ohne Verzögerungen
  • Datenschutz - Keine Tracking-Cookies oder externe Datenübertragung

Konfiguration der Captcha-Einstellungen

Zugriff auf die Einstellungen

Die Captcha-Konfiguration finden Sie im CMS-Administrationsbereich unter: EinstellungenCaptcha

Verfügbare Einstellungen

CAPTCHA HMAC

Sicherheitsschlüssel

Zweck: HMAC zur Überprüfung der Integrität der Captcha-Antwort

  • Format: Alphanumerischer Schlüssel (empfohlen: 32+ Zeichen)
  • Sicherheit: Wenn nicht gesetzt, wird Captcha deaktiviert
  • Wichtig: Verwenden Sie einen starken, zufälligen Schlüssel

HTTPS-Anforderung

Das Captcha kann aufgrund der Sicherheitskontextrichtlinien in modernen Browsern nur auf HTTPS-fähigen Systemen verwendet werden. Die Aktivierung dieser Einstellung auf einem System, das nur HTTP unterstützt, führt zu Anmeldefehlern.

CAPTCHA KOMPLEXITÄT

Rechenaufwand-Steuerung

Standardwert: 50000

Die "Komplexität" im Proof-of-Work-Mechanismus bezieht sich auf die Höhe des Rechenaufwands, den ein Client benötigt, um die vom Server gestellte Aufgabe zu lösen.

  • Niedrigere Werte = Schnellere Verarbeitung, geringere Sicherheit
  • Höhere Werte = Langsamere Verarbeitung, höhere Sicherheit
  • Empfohlen: 50000 für ausgewogene Performance

CAPTCHA ANTWORTEN

Nutzungslimit

Anzeige: Aktuell verwendete Antworten / Maximales Limit

  • Zweck: Maximale Anzahl von Captcha-Antworten für das CMS
  • Verhalten: Nach Erreichen des Limits wird Captcha deaktiviert
  • Reset: Automatisches Zurücksetzen basierend auf Lizenzmodell
  • Beispiel: "2/∞" bedeutet 2 verwendete Antworten bei unbegrenztem Plan

Endpoint-Information

Der Altcha Captcha Challenge Endpoint befindet sich unter: 

/system/security/captcha/challenge

Empfohlene Konfiguration

  1. HMAC: Verwenden Sie einen starken, zufälligen 32-Zeichen-Schlüssel
  2. Komplexität: Beginnen Sie mit 50000 und passen Sie bei Bedarf an
  3. HTTPS: Stellen Sie sicher, dass Ihr System HTTPS unterstützt
  4. Testing: Testen Sie die Funktionalität nach der Konfiguration

Automatische Aktivierung

HMAC-Konfiguration erforderlich

Wenn ein HMAC-Schlüssel in den Systemeinstellungen konfiguriert ist, wird das Captcha automatisch für folgende Bereiche aktiviert:

Geschützte Bereiche

Bereich Beschreibung
Anmeldung Login-Formular für CMS-Benutzer
Registrierung Neue Benutzerkonten erstellen
Passwort vergessen Passwort-Reset-Funktionalität

Konfiguration

Der HMAC-Schlüssel kann in der Systemkonfiguration unter SicherheitCaptcha-Einstellungen festgelegt werden.

API-Integration für Plugins

Challenge-Token abrufen

Plugins können das Captcha-System über die bereitgestellte API nutzen:

API-Endpoint

POST /system/security/captcha/challenge

Integration in eigene Formulare

Plugin-Entwicklung

Entwickler können das Captcha-System in ihre eigenen Plugins und Formulare integrieren, indem sie:

  1. Challenge-Token über die API abrufen
  2. Altcha-Widget in ihr Formular einbinden
  3. Verifizierung serverseitig durchführen

Lizenzierung und Metering

Lizenzabhängige Nutzung

Die Verfügbarkeit und Limitierung der Captcha-Funktionalität hängt von Ihrem Lizenzanbieter ab

Metering-System

Je nach Lizenzmodell kann Ihr Anbieter ein Metering-System für Captcha-Verifikationen aktivieren:

  • Verifikationszählung - Jede erfolgreiche Captcha-Lösung wird erfasst
  • Monatslimits - Beispiel: 50.000 Verifikationen pro Monat
  • Automatische Überwachung - Das System überwacht die Nutzung kontinuierlich

Lizenzmodelle

Anbieterabhängig

  • Unbegrenzte Nutzung - Keine Limits bei entsprechender Lizenz
  • Verbrauchsbasiert - Monatliche Limits
  • Pay-per-Use - Abrechnung nach tatsächlicher Nutzung

Kontaktieren Sie Ihren Lizenzanbieter für Details zu Ihrem spezifischen Modell.

Überschreitung von Limits

Limit erreicht

Wenn das monatliche Verifikationslimit erreicht wird:

  • Captcha-Challenges werden nicht mehr generiert
  • Betroffene Formulare sind möglicherweise nicht mehr geschützt
  • Eine Benachrichtigung wird an Administratoren gesendet

Technische Details

HMAC-basierte Sicherheit

Sicherheitsmechanismus

  • HMAC (Hash-based Message Authentication Code) gewährleistet die Integrität der Challenge-Tokens
  • Serverseitige Verifikation verhindert Client-seitige Manipulation
  • Zeitbasierte Gültigkeit der Tokens verhindert Replay-Angriffe