Search Documentation

Search for pages and headings in the documentation

Captcha-Sicherheit

robotics

CrispyCMS nutzt Altcha als eingebauten Captcha-Mechanismus. Altcha schützt Anmeldeformulare, Registrierungen und andere sensible Bereiche vor automatisierten Angriffen — ohne dass Besucher Bilder anklicken oder Buchstaben abtippen müssen.

Wie funktioniert Altcha?

Altcha läuft vollständig im Hintergrund. Wenn ein Besucher ein Formular ausfüllt, löst sein Browser im Hintergrund eine kurze Rechenaufgabe — ähnlich einem kleinen Puzzle, das für Menschen unsichtbar ist, für automatisierte Programme aber aufwändiger zu lösen ist. Das Ergebnis wird zusammen mit dem Formular übermittelt und serverseitig geprüft.

Für den normalen Besucher bedeutet das: kein zusätzlicher Schritt, kein Klicken, kein Warten. Für Bots bedeutet es: erheblich höherer Aufwand bei jedem Versuch.

Weitere Vorteile:

  • Keine Verbindung zu externen Diensten wie reCAPTCHA oder hCaptcha — Ihre Besucherdaten verlassen nicht Ihren Server
  • Barrierefrei und kompatibel mit Screenreadern
  • Funktioniert ohne Cookies oder Tracking

Konfiguration

Die Captcha-Einstellungen finden Sie unter Einstellungen → Sicherheit → Captcha-Einstellungen.

CAPTCHA-HMAC-Schlüssel

Der HMAC-Schlüssel ist ein geheimer Code, mit dem CrispyCMS sicherstellt, dass Captcha-Antworten echt und unverändert sind. Ohne diesen Schlüssel ist Captcha deaktiviert — unabhängig davon, ob es in den Einstellungen aktiv gesetzt ist.

  • Format: Eine beliebige Zeichenkette, empfohlen sind 32 oder mehr zufällige Zeichen
  • Sicherheit: Behandeln Sie diesen Schlüssel wie ein Passwort — teilen Sie ihn nicht und hinterlegen Sie ihn nicht in öffentlichen Dateien
  • Änderungen: Wenn Sie den Schlüssel ändern, werden alle bestehenden Captcha-Sessions ungültig

⚠️ HTTPS erforderlich: Captcha funktioniert nur auf HTTPS-gesicherten Seiten. Stellen Sie sicher, dass Ihre Website über ein gültiges SSL-Zertifikat erreichbar ist, bevor Sie den Schlüssel eintragen.

CAPTCHA-Komplexität

Die Komplexität bestimmt, wie aufwändig die Rechenaufgabe für den Browser des Besuchers ist. Der Standardwert 50.000 bietet eine gute Balance: echte Besucher bemerken keine Verzögerung, automatisierte Skripte werden aber spürbar gebremst.

  • Niedrigere Werte (z.B. 10.000): schneller für alle, weniger wirksam gegen hartnäckige Bots
  • Höhere Werte (z.B. 100.000): wirkungsvoller gegen Bots, aber spürbar langsamer auf alten Geräten

Im Normalfall müssen Sie diesen Wert nicht ändern.

CAPTCHA-Antworten (Lizenzlimit)

CrispyCMS zählt, wie viele Captcha-Prüfungen erfolgreich durchgeführt wurden. Dieses Limit ist in Ihrer Lizenz festgelegt.

  • Wenn das Limit erreicht ist, wird Captcha automatisch deaktiviert, bis das Kontingent zurückgesetzt wird
  • Den aktuellen Verbrauch sehen Sie unter Einstellungen → Lizenzen
  • Bei 80 % Auslastung zeigt das System eine Warnung

⚠️ Hinweis für Ray-Nutzer: Wenn Sie CrispyCMS Ray aktiv haben, zählen auch die dort durchgeführten Captcha-Prüfungen zum selben Kontingent. Beachten Sie das bei der Kapazitätsplanung.

Welche Bereiche sind automatisch geschützt?

Sobald ein HMAC-Schlüssel hinterlegt ist, aktiviert CrispyCMS Captcha automatisch in folgenden Bereichen:

BereichBeschreibung
AnmeldungDas Login-Formular für CMS-Benutzer
RegistrierungDas Formular zum Erstellen neuer Benutzerkonten
Passwort vergessenDer Passwort-Reset-Prozess

Plugins und benutzerdefinierte Formulare können das Captcha-System ebenfalls nutzen. Informationen dazu finden Sie im Entwickler-Handbuch.

Technische Details für Entwickler

Der Altcha-Challenge-Endpoint ist unter folgender Adresse erreichbar:

/system/security/captcha/challenge

Plugins können diesen Endpoint aufrufen, um ein Challenge-Token zu erhalten, das Widget im Frontend einzubinden und die Antwort serverseitig zu validieren. Details zur Integration finden Sie im Entwickler-Handbuch.