Captcha könnte bald abgelöst werden

"Bitte alle Ampeln auswählen", "Klicken Sie auf Felder mit Fahrrädern" oder "Sind Sie ein Roboter?" - Wir alle kennen solche Sicherheitsabfragen auf Webseiten. Captcha steht für “completely automated public Turing test to tell computers and humans apart” (engl. vollständig automatisierter öffentlicher Turing-Test, um Computer von Menschen zu unterscheiden). Diese Tests werden sehr oft eingesetzt und können nervig sein. Man fragt sich nicht selten: Zählt dieses winzige Stück Reifen noch zu einem Bus? Und was ist mit dem Feld, in dem nur der Außenspiegel zu sehen ist? 

Eine Alternative dazu fehlte aber bisher. Die am weitesten verbreitete Variante reCaptcha gehört Google und wurde über die Jahre konsequent verbessert. Das ist einfach einsetzbar und kostenlos. Zudem ist es nicht so einfach, eine Alternative zu schaffen, denn ein Captcha-Service muss universell zugänglich und für alle verständlich sein, erklärt der Sicherheitsexperte Sebastian Bicchi von Sec-Research im Gespräch mit der futurezone. 

Captcha lässt sich umgehen

Es gibt aber Möglichkeiten, die Captcha-Abfrage zu umgehen, erklärt der Experte: "Catpcha soll barrierefrei sein und manche versuchen, Google mit seinen eigenen Waffen zu schlagen. Wenn statt Bilder anzuklicken eine Stimme etwas vorliest, kann man Googles Spracherkennung nutzen, um das Gesprochene wieder in Text zu verwandeln.“ Zudem gibt es Captcha-Lösungs-Dienste, die für wenig Geld die Bilderrätsel in großem Maße automatisiert übernehmen.

Das Unternehmen Cloudflare versucht seit längerem, eine Alternative zu Googles reCaptcha zu etablieren. Mit hCaptcha versuchte man sich neu zu orientieren. Allerdings ist hCaptcha nicht weniger mühsam. So wird man etwa nach einem Namen gefragt und ob man lieber Melanzani oder Karotten mag. Dann gibt man an, kein Roboter zu sein und klickt ein paar Bilder an, auf denen Boote zu sehen sind. Eine wirkliche Verbesserung des Systems ist zumindest für Nutzer*innen nicht ersichtlich.

Hardware statt Bilderrätsel

Deswegen hat Cloudflare nun ein neues System entwickelt, dass die nervige Bildersuche völlig eliminieren soll. Stattdessen kommt eine Hardware zum Einsatz, die das Prozedere überspringt.

• Auf Webseiten wird dann „Cryptographic Attestation of Personhood“ (engl. kryptografische Bescheinigung des Menschseins) abgefragt. Das kann in einer Beta-Version auf der Cloudflare-Challenge-Website getestet werden.
• Dort klickt man auf „I am human (beta)“ und wählt „Hardware Security Key“
• Anschließend wird ein USB-Key, etwa von Yubico, gefordert, der in den Computer gesteckt wird oder sich per NFC mit dem Smartphone verbindet
• Die Hardware wird per Knopfruck aktiviert
• So kann Cloudflare verifizieren, dass eine Person sich einloggt und man wird auf die gewünschte Seite weitergeleitet

Der gesamte Prozess dauert nur ein paar Sekunden und funktioniert einwandfrei. Zudem ist er barrierefrei einsetzbar. Doch ist das wirklich eine Alternative? "Grundsätzlich ist das eine sehr interessante Idee. Es wirkt robust, durchdacht und sicher", sagt Bicchi. Trotzdem sieht der Sicherheitsexperte auch Probleme.

Es müsse immer eine Alternative angeboten werden, sonst schließe man Menschen aus, die keine solche Hardware besitzen. Damit mache man das System aber wieder unsicher. Zudem könnten sich Nutzer*innen zu schnell an die einfache Methode gewöhnen: "Ich sehe die Gefahr, dass Leute nicht mehr richtig lesen, wo sie sich gerade einloggen. So könnte man User zu einem Verhalten erziehen, das später zurückschlägt". Trotzdem könnte die immer wichtiger werdende 2-Faktor-Authentifizierung zur Sicherung von Nutzer*innen-Konten so einen weiteren Schub erhalten.

Sicheres System 

In Sachen Sicherheit habe Cloudflare laut Bicchi einen guten Job gemacht. Das Unternehmen beschreibt es so: Jeder Hardware-Key hat einen sicheren, geheimen Token, der die Nutzer*innen als Menschen authentifiziert. Die Hardware teilt dem Cloudflare-System mit, dass es diesen Token besitzt, ohne diesen selbst bekanntzugeben. Dabei wird versprochen, keine individuellen Keys zu vergeben, sondern jeder teilt sich einen solchen Key mit mindestens 100.000 anderen Nutzer*innen.

Cloudflare lehnt es ab, individuelle Keys zu verwenden, da dafür ein Cookie gesetzt werden müsste, dass die Nutzer*innen tracken kann. Das sei „antithetisch zur Privatsphäre im Internet und den Zielen des Projektes“ heißt es seitens des Unternehmens. Bicchi warnt aber, dass bei einem inflationären Einsatz dieser Methode andere Seiten durchaus in der Lage wären, Personen so zu tracken.

Ob ein Mensch tatsächlich selbst den Knopf drückt, oder – wie Cloudflare in einem YouTube-Video demonstriert - ein automatisches Gerät, wie ein Plastik-Vogel, dessen Schnabel einfach auf den Knopf tippt, kann trotzdem nicht geprüft werden. Bequemer macht es die Abfrage aber allemal.

Projekt in der Entwicklung

Ob das Projekt langfristig Erfolg haben wird, bleibt abzuwarten. Derzeit befindet es sich noch in der Entwicklung und ist für eine beschränkte Auswahl an Geräten in einigen englischsprachigen Regionen auf der Welt verfügbar. Momentan werden neben YubiKeys noch HyperFIDO und Thetis FIDO U2F Keys zugelassen.

Auch andere Authentifizierungsmethoden sollen zukünftig in Betracht gezogen werden. Ein Smartphone könnten über NFC die zusätzlich Hardware überflüssig machen. Rein technisch bieten sowohl Apples iOS-Geräte als auch Googles Android solche 2-Faktor-Authentifizierung bereits an.