Wie sieht die Zukunft der Captchas aus?


Captchas sind aus dem Web kaum mehr wegzudenken. Den immer raffinierter werdenden Bots können sie langfristig jedoch nicht mehr gerecht werden. Alternativen aus der Blockchain könnten nachfolgen.


Zwischen einer echten Person und einem Computer oder Bot zu entscheiden, kann in der digitalen Welt schnell zur Herausforderung werden. Im Jahr 2020 stammten laut dem “Bad Bot Report 2021” von Imperva rund 25,6 Prozent des gesamten Internetverkehrs von sogenannten “Bad Bots”. Darunter werden Programme verstanden, welche das Verhalten echter InternetnutzerInnen nachahmen, Websites angreifen und dabei schnell Schaden verursachen können. Ein Beispiel ist die Überflutung von Kontaktformularen durch Bots. Die MitarbeiterInnen im jeweiligen Kundenservice müssen die echten Anfragen erst einmal aus der Masse herausfiltern, wodurch die Antwortzeit enorm ansteigen kann. Folglich sinkt die Kundenzufriedenheit des Anbieters.

Ein “Completely Automated Public Touring test to tell Computers and Humans Apart” – dem Großteil der InternetnutzerInnen wohl unter seiner Kurzform CAPTCHA bekannt – kann bei der Erkennung helfen. Captchas sind in den unterschiedlichsten Formen auf allen möglichen Websites eingebunden, um Bots abzuweisen und echte Besucheranfragen herauszufiltern.


Entwicklung der Captchas

Anfangs waren Captchas noch recht einfach zu lösen. Die NutzerInnen mussten lediglich eine unscharfe Buchstabenfolge eingeben oder eine einfache Rechenaufgabe lösen. Aufgrund der immer besser werdenden Bilderkennungssoftware und KI mussten die Rätsel jedoch immer schwieriger werden, um die Bots noch aufhalten zu können. Es entstand ein ständiges Wettrüsten zwischen den Bots und der Technologie, die sie fernhalten sollte. Folglich wird der Aufwand, ein Captcha zu lösen, auch für die echten NutzerInnen immer größer. Einer Stanford-Studie zufolge kann dieser Mehraufwand auch zu weniger Einnahmen auf den betreffenden Webseiten führen.


Mögliche Zukunftsansätze

Eine Kombination aus Krypto-Verifizierungsdiensten und SSI (Self-Sovereign-Identity) könnte den Captchas nachfolgen. SSI könnte dabei, ähnlich wie gewohnte Captchas (Bilder identifizieren, anschließend „Ich bin kein Roboter“ bestätigen), auf der Analyse des On-Chain-Verhaltens der NutzerInnen basieren. Auf diesem Weg könnte beispielsweise überprüft werden, welche Aktivitäten über eine bestimmte Ethereum-Adresse abgewickelt wurden und wie lange diese aktiv war. Eine solche Analyse kann mit zunehmender Nutzung der Blockchain auch einen zusätzlichen Sicherheitsfaktor darstellen. Da sie allerdings nicht unfehlbar ist, kann es zu der frustrierenden Problematik kommen, dass echte NutzerInnen fälschlicherweise als Bots eingestuft und abgewiesen werden. Hinzu kommen potenzielle Probleme bezüglich Datenschutz (da Informationen über Personen gesammelt und gespeichert werden) und Identitätsverlust (da es einen Aussteller für die Validierung von Zertifikaten geben muss). Letztere Probleme könnten allerdings durch überprüfende Stellen im SSI-Kreislauf gelöst werden, welche die Gültigkeit der Zertifikate kontrollieren und so eine Übermittlung der zugrundeliegenden Verhaltensdaten überflüssig machen könnte.

Eine Kombination aus SSI und Trustscore mit gleichzeitiger erfolgreicher Verifizierung könnte also Roboter-Imitationen und Spam mit ausreichend hoher Wahrscheinlichkeit ausschließen. Im nahenden Quantenzeitalter wären derartige Authentifizierungsmaßnahmen allerdings auch schon wieder nutzlos. Dann wären dem US-amerikanischen Kryptologen David Chaum zufolge quantensichere Blockchain-Netzwerke wie etwa das xx network die sicherste Lösung. Konkret nennt er hier die nächste Generation von hochsicheren SSI-dApps.

Zentralisierte Diensteanbieter wie Cloudflare würden das gesamte System lieber neu aufziehen und NutzerInnen über ein Sicherheitsmodul im Browser verifizieren, statt „nur“ eine neue Art von Captcha zu entwickeln. In der Praxis könnte man sich demnach beim Besuch einer Website über den Fingerabdrucksensor des eigenen Computers verifizieren. Solche zentral gesteuerten, software- und hardwarebasierten Lösungen können Chaum zufolge allerdings nur kurzfristig als valide und sichere Authentifizierungsmethoden angesehen werden. Er sieht in der zentral gesteuerten Software ein attraktives Ziel für Hackingangriffe und folglich auch ein potenzielles Sicherheitsrisiko.

David Chaum zufolge liegt die notwendige langfristige Lösung des Problems in Mnemotechniken – also Eselsbrücken in Form eines Schemas, Reims oder einer Grafik, welche ein Passwort umschreiben. Sie müssten dem Experten zufolge von Menschen entwickelt und offline gespeichert werden. Außerdem müssten sie kompliziert genug sein, sodass Computer sie nicht erraten können. Dann könnte die Validierung der Identität unabhängig von Computervermittlern oder Blockchain-Validierern durchgeführt werden.


Quelle: David Chaum