Moin.

»» wozu denn dann noch neben den Logindaten dieses bescheuerte Captcha?

Na um automatisierten Login mit gephishten Logindaten zu erschweren.

Interessanter Punkt. Maschinelle Login-Versuche können aber auch über ein Verschlüsseln der Feldnamen - in Kombination mit 'Dummy'-Feldern und einer zufälligen Anordnung selbiger im Dokument - ausgeschlossen werden.

Problematisch bei einer solchen Lösung ist allerdings, dass ein hartnäckiger Phisher immernoch das CSS parsen könnte, um so die Dummy-Felder von den 'echten' zu unterscheiden :(

Sie sind sicher nicht der Weisheit letzter Schluss, aber was die Alternativen in diesen Fällen sein sollen, hat mir hier auch noch niemand sagen können.

Man braucht eine Möglichkeit, Mensch von Maschine unterscheiden zu können. Das kann über Bild-Captchas erfolgen, aber ebenso über Quizfragen wie "Was ist die Summe von drei und fünf?", "Die Flagge der BRD zeigt die Farben Schwarz, Rot und ...?".

Viel wichtiger als Machinen vom Login auszuschließen, ist es aber onehin, dies *nach* dem Login zu erkennen, so dass der Account gesperrt und der entsprechende Nutzer informiert werden kann!

Christoph