Was sind CAPTCHAS?

CAPTCHA ist eine Abkürzung und steht für "Completely Automated Public Turing test to tell Computers and Humans Apart" ("Vollständig automatisierter öffentlicher Turing-Test, um Computer und Menschen zu unterscheiden"). Solche Turing-Tests werden genutzt um festzustellen, ob es sich bei einem Nutzer tatsächlich um einen Menschen oder womöglich um einen Bot handelt. Dabei fordern Websites den Besucher auf, eine Abfolge von Buchstaben und Zahlen zu identifizieren, die etwas verfälscht dargestellt werden, sodass Bots diese kaum erkennen können. Ein Nachteil der CAPTCHAS ist, dass fortgeschrittene Bots lernen können, die verzerrten Zeichen zu erkennen. Außerdem handelt es sich hierbei um eine Methode, die automatisierte Systeme erkennen soll und dabei selbst ein automatisiertes System ist.

CAPTCHAS mit Private Token ersetzen

Apple stellt mit iOS 16 nun eine Methode vor, mit der der Bedarf von CAPTCHAS verringert werden kann, wie Apple-Entwickler Tommy Pauly im Zuge der WWDC 2022 erklärte. Demnach gibt es einige Kennzeichen, die Bots nur schwer nachahmen können und die Servern deshalb als Indikatoren dienen könnten, dass es sich bei einem Nutzer tatsächlich um einen Menschen handelt. Beispielsweise die Nutzung von iPhones, iPads oder Macs, die mit einem Passwort, einer Touch-ID oder der Face-ID entsperrt werden. Außerdem sei man fast immer mit seiner Apple-ID auf dem Gerät angemeldet.

"Private Access Tokens ermöglichen es Servern, CAPTCHAs […] zu vermeiden, indem sie eine Technologie verwenden, die in der IETF Privacy Pass Arbeitsgruppe standardisiert wird. Apple arbeitet mit Unternehmen aus der gesamten Branche zusammen, um dies zu ermöglichen. Mit diesem Protokoll können Server Token mit einer neuen HTTP-Authentifizierungsmethode, PrivateToken, anfordern. Diese Token verwenden RSA-Blindsignaturen, um kryptografisch zu unterschreiben, dass ein Client eine Prüfung bestanden hat. Diese Signaturen sind 'unlinkable', das heißt Server, die Token erhalten, können nur prüfen, ob sie gültig sind, aber sie können keine Client-Identitäten feststellen oder Clients im Laufe der Zeit erkennen", so Pauly.

Der große Vorteil sei, dass Private Access Tokens die HTTP-Anfrage automatisch und im Hintergrund authentifizieren, was eine Zeitersparnis für den Benutzer darstelle.

Private Token als öffentlicher Standard

Wie Engadget erklärt, könnte diese Methode eine breite Anwendung finden, die über die bloße Apple-Hardware hinausgeht. Demnach sollen bereits Cloudflare und Fastly Pläne zur Unterstützung des Token-Ansatzes bekannt gegeben haben, wodurch Millionen von Websites profitieren könnten. Apple soll außerdem mit diesen Unternehmen und auch mit Google zusammengearbeitet haben, um Private Access Tokens zu einem offenen Standard zu machen. Dennoch gibt es bisher noch keine entsprechende Android-Methode. Die in iOS 16 eingesetzte Technologie deutet jedoch durchaus auf eine Zukunft hin, in der nur noch wenige Menschen CAPTCHAs manuell ausfüllen müssen.

E. Schmal / Redaktion finanzen.net

Bildquellen: nui7711 / Shutterstock.com