Schritt für Schritt

So funktioniert
CaptchaCore.

Adaptive Risk Engine, Proof of Work, Verhaltensanalyse und Threat Intelligence arbeiten zusammen — unsichtbar für Menschen, unlösbar für Bots.

Der Ablauf

7 Schritte in unter 300ms

01

Seite lädt

15 KB

Das V2-Widget (15 KB gzip) wird asynchron geladen — blockiert weder Rendering noch Interaktion. Kein Framework, keine Dependencies.

02

Challenge-Policy

adaptiv

Der Server sendet eine adaptive Policy: Challenge-Typ, Schwierigkeit, Site-Profil, UAM-Level — kryptographisch signiert mit EdDSA.

03

Proof of Work

~200ms

Der Browser löst SHA-256 oder Memory-Hard (Argon2) PoW im WebWorker — der UI-Thread bleibt frei, der Nutzer merkt nichts. Schwierigkeit passt sich an.

04

Verhalten & Env-Fingerprint

parallel

Mausentropie, Tipp-Rhythmus, Touch-Events plus Canvas-Timing, WebGL-Renderer, rAF-Cadence, Storage-APIs — entlarvt auch getarnte Headless-Browser. Nur aggregierte Scores, keine Rohdaten.

05

Token + Bindings

EdDSA

PoW-Lösung + Behavioral Scores + signierte Bindings (Origin, Site, Form-Typ) werden zum V2-Token zusammengefügt. Kein Cross-Site-Replay möglich.

06

Adaptive Risk Engine

<50ms

Profilbasierte Bewertung: Login strenger als Kontaktformular. Umfangreiches IP-Archiv (täglich mehrfach aktualisiert), Kampagnenerkennung, Confidence Score, Reason Codes.

07

Entscheidung

Score 0-100

allow, challenge, step_up oder block — abhängig von Site-Profil und Form-Policy. 4-stufiger Under-Attack-Mode eskaliert automatisch.

Proof of Work — SHA-256 / Argon2

Nonce:

a3f8c2e91b7d4f6...

Lösung:

00007f3a9c1b...

Berechnung ~200ms

Widget-Größe (gzip)

reCAPTCHA
450 KB
hCaptcha
65 KB
CaptchaCore V2
15 KB

Schicht 1

Proof of Work

Jeder Browser muss eine Rechenaufgabe lösen, bevor das Formular abgesendet werden kann. Für einen einzelnen Menschen unmerklich (~200ms), für Bot-Fluten mit tausenden Anfragen pro Sekunde unbezahlbar.

  • WebWorker — blockiert nie den UI-Thread
  • SHA-256 (Standard) + Argon2 Memory-Hard (GPU-resistent bei erhöhtem Risiko)
  • Schwierigkeit dynamisch per Site-Profil + Under-Attack-Level
  • Nonce: Single-Use, EdDSA-signiert, kein Replay möglich

Schicht 2

Verhaltensanalyse

Während der Nutzer das Formular ausfüllt, sammelt das Widget passiv Verhaltens-Metriken. Keine Rohdaten verlassen den Browser — nur aggregierte Scores.

Maus-Entropie

Shannon, 8 Sektoren

Tipp-Rhythmus

Inter-Key-Intervalle

Scroll/Touch

Events, Geschwindigkeit

Focus-Wechsel

Tab-Reihenfolge

Getippte Zeichen

vs. eingefügte

Time-on-Page

Dauer bis Submit

Behavioral Signals — Live

2.7

Entropie

0.68

Rhythmus

42

Events

Risk Engine — Sentinel

4

/100 Risk Score

0 — allow 30 — challenge 60 — block — 100
PoW Behavior Canvas WebGL rAF IP-Archiv User-Agent Env ASN Geo Rate Threat-Intel Kampagnen Profil Confidence

Schicht 3

Adaptive Risk Engine

Serverseitig bewertet die Risk Engine alle Signale kontextabhängig — Login wird strenger bewertet als ein Kontaktformular. Site-Profile und Form-Policies steuern die Schwellen individuell.

allow

Menschlich, durchlassen — mit Confidence Score und Reason Codes

challenge / step_up

Verdächtig — zusätzliche Interaktions-Prüfung oder erhöhter PoW

block

Bot erkannt — blockieren

Erkennung

Mensch vs. Bot

Echte Menschen erzeugen natürliche Verhaltensmuster. Bots verraten sich durch fehlende oder künstliche Signale.

Mensch

Natürliches Tipp-Muster erkannt

Maus-Entropie2.7 (natürlich)
Tipp-Rhythmus0.68 (variabel)
Time-on-Page12.4s
Env: webdriverfalse
Risk Score4 — allow

Bot (Headless Chrome)

Instant-Fill erkannt — kein Tipp-Muster

Maus-Entropie0.0 (keine)
Tipp-Rhythmus0.0 (instant)
Time-on-Page0.2s
Env: webdrivertrue
Risk Score87 — block

Performance

Der gesamte Prozess in <300ms

Widget laden

0ms

15 KB async/defer, kein Blocking

Policy laden

~10ms

Adaptive Challenge-Policy vom Server

PoW lösen

~200ms

SHA-256 oder Argon2 im WebWorker

Behavior sammeln

parallel

Läuft gleichzeitig zum PoW

Token + Bindings

0ms

EdDSA-signierte Bindings, instant

Risk Engine

<50ms

Adaptive Bewertung + IP-Archiv + Threat Intel

Bereit, es selbst zu sehen?

Teste CaptchaCore live oder lies die Dokumentation für die Integration.

Live Demo testen Dokumentation