Captcha-Alternativen aus der Blockchain Auswege aus dem Captcha-Dschungel

Von David Chaum

Anbieter zum Thema

"Completely Automated Public Turing test to tell Computers and Humans Apart" - hinter diesem sperrigen Begriff verbirgt sich etwas, das so ziemlich jede:r Internetnutzer:in schon einmal gesehen und benutzt hat – Captchas. Sie sind in verschiedenen Formen in alle möglichen Websites integriert und haben nur einen Zweck: möglichst zuverlässig festzustellen, ob es sich bei einem Besucher um einen Bot oder eine echte Person handelt und so Spam zu verhindern. Was sind die Alternativen?

Manchmal ist es in der digitalen Welt wie im Dschungel: Es ist eine große Herausforderung, zwischen einer echten Person und einem Computer oder Bot zu unterscheiden.
Manchmal ist es in der digitalen Welt wie im Dschungel: Es ist eine große Herausforderung, zwischen einer echten Person und einem Computer oder Bot zu unterscheiden.
(Bild: malp - stock.adobe.com )

In der digitalen Welt ist es eine große Herausforderung, zwischen einer echten Person und einem Computer oder einem Bot zu unterscheiden. Laut dem "Bad Bot Report 2021" von Imperva stammten im Jahr 2020 rund 25,6 Prozent des gesamten Internetverkehrs von sogenannten “Bad Bots”. Dabei handelt es sich um Programme, die sich genauso verhalten wie echte Menschen, Websites angreifen und mit enormer Geschwindigkeit Schaden anrichten können. Das Bot-Problem zeigt sich zum Beispiel beim Vorverkauf beliebter Sonderausgaben von Marken wie Adidas und Co. Diese Artikel sind oft schon Sekunden nach der Markteinführung ausverkauft, ohne dass menschliche Nutzer:innen auch nur die geringste Chance haben, sie selbst zu bestellen. Kurze Zeit später sind die Artikel auf Ebay zu höheren Preisen zu finden. Ein weiteres Beispiel sind Formulare, z. B. für Nachrichten an den Kundendienst. Weil Mitarbeiter:innen aus den unzähligen Anfragen die echten herausfiltern müssen, steigen die Antwortzeiten enorm und die Kundenzufriedenheit sinkt. Nicht zuletzt war das Versenden von E-Mails durch Computer (der ursprüngliche Spam) das erste weit verbreitete Beispiel für das Bot-Problem.

reCaptchas - wie man Nutzen aus den Captchas ziehen kann

Captchas sind ein durchdachter Versuch, das Problem zu lösen, und anfangs waren sie noch relativ einfach. Die Nutzer:innen wurden aufgefordert, eine einfache mathematische Aufgabe zu lösen oder unscharfe Buchstabenfolgen einzugeben. Mit der Entwicklung immer besserer Bilderkennungssoftware und KI reicht dies jedoch nicht mehr aus, um die Bots aufzuhalten. Als Reaktion darauf wurden die Rätsel immer komplizierter und der Aufwand, sie zu lösen, immer größer. Daraus entstand 2009 die Idee, diesen Arbeitsaufwand, der weltweit auf 150.000 Stunden pro Tag geschätzt wird, für die Digitalisierung von Büchern zu nutzen: das reCaptcha-Projekt war geboren. Website-Nutzer müssen ein Wort aus einem Bild eintippen. Google erkannte das Potenzial und kaufte reCaptcha. Der Dienst hilft nun unter anderem dabei, verschwommene Hausnummern aus Google Street View zu identifizieren.

Das bleibende Problem ist dabei, dass heutige Ansätze zur Erkennung von Bots immer anfällig für schnellere Computer mit besserer Software sind, die sich erfolgreich als Menschen ausgeben. Das Ergebnis ist ein ständiges Wettrüsten, bei dem schnellere, "intelligentere" Computer die Software, die zu ihrer Erkennung entwickelt wurde, einholen. Werden ReCaptchas bald der Vergangenheit angehören? Erst kürzlich hat Google Street View einen Algorithmus zur verbesserten Erkennung von unscharfen Straßennamen entwickelt, der reCaptchas mit 99,8 Prozentiger Sicherheit lösen kann. Für den Kampf gegen Bots ist dies zwar im Moment noch kein Problem, da derzeit das Verhalten der Nutzer:innen vor dem Lösen des Rätsels auf der Website miteinbezogen wird. Aber eines zeigen solche Phänomene unbestreitbar: Mit dem Fortschreiten der Technik müssen solche Rätsel tendenziell schwieriger werden – und damit auch lästiger für die Nutzer:innen. Laut einer Stanford-Studie führt dies auch zu weniger Einnahmen auf Websites. Der einfachste Weg wäre, zu extrem einfachen Captchas zurückzukehren und einfach eine gewisse Menge an Spam zu akzeptieren. Es gibt einige Ansätze, wie die Captchas der Zukunft aussehen könnten – hier kann auch die Blockchain-Technologie helfen.

Verhaltensanalyse in Kombination mit Self-Sovereign-Identity

In Zukunft könnte die Verifizierung aus einer Kombination aus Krypto-Verifizierungsdiensten und SSI (Self-Sovereign-Identity) funktionieren. Ähnlich wie bei Captchas, die Nutzer:innen bei der Identifizierung von Bildern und dem anschließendem Klicken auf die Schaltfläche "Ich bin kein Roboter" überprüfen, könnte SSI auch auf der Analyse des On-Chain-Verhaltens der Nutzer:innen basieren. So könnte beispielsweise überprüft werden, welche Aktivitäten über eine bestimmte Ethereum-Adresse abgewickelt wurden, wie lange sie aktiv war und so weiter. Derzeit wird eine solche Analyse noch kaum für Wallets und Adressen verwendet, aber sie liegt im Bereich des Möglichen und kann mit der zunehmenden Nutzung der Blockchain auch einen zusätzlichen Sicherheitsfaktor darstellen. Diese Art der Mustererkennung wurde bereits früher eingesetzt, zum Beispiel zur Früherkennung von Kreditkartenbetrug. Da diese Art der Analyse nicht unfehlbar ist, kann es zu den bekannten und frustrierenden Problemen führen, dass seriöse Käufe abgelehnt werden, weil die Kreditkarte anders als üblich verwendet wurde.

Obwohl SSI-Verhaltensdaten nicht zentral gespeichert werden müssen, besteht dennoch die Gefahr einer massiven Privatsphäreverletzung, da Informationen über Personen gesammelt und gespeichert werden. Und damit SSI funktioniert, muss es einen Aussteller für die Validierung von Zertifikaten geben, was ein weiteres potenzielles Risiko für die Nutzer:innen darstellt, die Kontrolle über ihre Identität zu verlieren. Neben der Datenspeicherung und -analyse, der ausstellenden Stelle und den Nutzer:innen selbst, gäbe es im SSI-Kreislauf auch überprüfende Stellen, die die Gültigkeit der Zertifikate kontrollieren. Um zu beweisen, dass jemand ein Mensch ist, würde es ausreichen, die Legitimität des Zertifikats selbst zu prüfen. Die zugrundeliegenden Verhaltensdaten würden also nicht übermittelt werden. Eine Kombination aus SSI und Trustscore mit gleichzeitiger erfolgreicher Verifizierung könnte dann Captchas ersetzen, da Roboter-Imitationen und Spam mit ausreichend hoher Wahrscheinlichkeit ausgeschlossen werden könnten.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Solche Authentifizierungsmaßnahmen wären jedoch nutzlos, wenn Quantencomputer Authentifizierungszertifikate sowie alle Blockchains, die Verhaltensdaten speichern, knacken. Um die Authentifizierung im Netz auch im Quantenzeitalter zu gewährleisten, sind quantensichere Blockchain-Netzwerke wie etwa das xx network die sicherste Lösung. Dieses notwendige Maß an Sicherheit für die digitale Identität wird durch die nächste Generation von hochsicheren SSI-dApps auf der Grundlage einer solchen quantensicheren Blockchain gewährleistet.

Zentral gesteuerte software- (und hardware-)basierte Lösungen und ihre Grenzen

Anstatt eine neue Art von Captcha zu entwickeln, würden zentralisierte Diensteanbieter wie Cloudflare es vorziehen, das gesamte System durch ihre eigene Idee zu ersetzen. Die Seite fordert die Nutzer:innen auf, ihre Identität über ein Sicherheitsmodul im Browser zu verifizieren. In der Theorie bedeutet dies, dass das Gerät, mit dem auf die Website zugegriffen wird, das Geheimnis des Sicherheitsmoduls preisgeben kann. Dies wiederum kann dann nachgewiesen werden, ohne dass das Geheimnis selbst an Gerätehersteller oder andere Software weitergegeben wird. Konkret heißt das: Man geht auf eine Website, wählt aus, dass man sich mit dem Fingerabdrucksensor des Computers verifizieren will, legt den Finger auf die Taste - und fertig.

Solche Lösungen können aber nur kurzfristig als valide und sichere Authentifizierungs­möglichkeiten angesehen werden. Denn eines ist klar: Hardwarebasierte Lösungen benötigen immer Software, um zu funktionieren. Und diese zentral gesteuerte Software kann ein potenzielles Sicherheitsrisiko darstellen und zu einem Einfallstor für Hacker:innen werden. Je einfacher das System ist und je mehr es von anderen Computern abgeschirmt ist (z. B. durch eine Trennung vom Netzwerk), desto weniger anfällig ist es für Sicherheitsvorfälle. Eine Hardware-Geldbörse zum Schutz von Kryptowährungen ist ein gutes Beispiel dafür: Das kleine Gerät wurde entwickelt, um die privaten Schlüssel zu schützen, die für den Zugriff auf Krypto-Geldbörsen verwendet werden. Zu diesem Zweck ist es als Offline-Speichergerät mit rudimentärer Betriebssoftware konzipiert, das absichtlich keine Verbindung zum Internet herstellen kann und mit Ausnahme einiger Schlüssel zur Eingabe eines PIN nicht anderweitig verwendet werden kann.

Das Bot-Problem wird sich in den kommenden Jahren weiter verschärfen. Wir können jedoch schon jetzt vorhersagen, dass SSI in Zukunft eine sinnvolle Lösung für die Validierung der Benutzeridentität und den Schutz der Datensouveränität sein wird.

Aber um zu verhindern, dass sich Computer als Menschen ausgeben, bedarf es Mnemotechniken, also Eselsbrücken in Form eines Reims, Schemas oder einer Grafik, die ein Passwort umschreiben. Diese müssen von Menschen entwickelt und offline gespeichert werden, und sie müssen kompliziert genug sein, damit Computer sie nicht erraten können. Die Validierung der Identität könnte dann von Menschen durchgeführt werden, ohne sich auf Computervermittler oder Blockchain-Validierer zu verlassen.

Als jemand, der bestens damit vertraut ist, wie Hard- und Software heimlich gehackt und kontrolliert werden können, ist dies der Ansatz, den ich letztendlich gerne umgesetzt sehen würde und den ich für die notwendige Lösung halte.

Über den Autor: David Chaum ist weithin bekannt als der Erfinder von digitalem Bargeld (eCash). Er ist auch für andere grundlegende Innovationen in der Kryptographie verantwortlich, darunter Datenschutztechnologie und sichere Wahlsysteme. Mit einem Doktortitel in Informatik von der UC Berkeley lehrte er an der NYU Graduate School of Business und der University of California, leitete eine Reihe von bahnbrechenden Projekten und gründete die International Association for Cryptologic Research, die Kryptographie-Gruppe am Center for Mathematics and Computer Science in Amsterdam, DigiCash, das Voting Systems Institute und den Perspectiva Fund. Derzeit ist er an der Entwicklung der xx Blockchain beteiligt. Die erste quantenresistente, skalierbare Blockchain.

Über xx network:xx network ist eine auf die Privatsphäre ihrer Nutzer:innen fokussierte Plattform, mit dem Ziel, alle Bereiche des täglichen Bedarfs, wie Apps und Services, langfristig zu dezentralisieren. So erlaubt das schnelle, quantensichere und hoch-skalierbare System die Realisierung von mobile-first Anwendungen auf der xx Blockchain. Der xx coin stellt dabei die dazugehörige Kryptowährung für den vollständig privaten Austausch von Werten dar. Auf diesem vom Kryptovater David Chaum entwickelten Layer-1-Blockchain-Protokoll laufen bereits voll funktionsfähige Systeme, wie der xx messenger und das Wahlsystem Votexx.

(ID:48414558)