Proton

Bei Proton arbeiten wir ständig an neuen und innovativen Möglichkeiten, die Privatsphäre und Daten der Proton-Community zu schützen. Manchmal bedeutet das, komplett neue Dienste zu entwickeln, wie unser Proton Sentinel-Programm, das KI und menschliche Sicherheitsanalysten kombiniert, um die Kontosicherheit für prominente Nutzer zu erhöhen. Manchmal bedeutet es, eine alte Idee auf neue Weise umzusetzen, wie bei unserem neuen, maßgeschneiderten CAPTCHA.

In unserem Was sind CAPTCHAs?-Beitrag haben wir erklärt, was CAPTCHAs sind, wie sie funktionieren und einen Fahrplan für die zukünftige Entwicklung, um CAPTCHAs als erste Verteidigungslinie gegen Bots und Spam auf dem Internet an der Spitze zu halten.

Bei Proton müssen wir auch unsere Website vor Bots und Spam schützen. Als wir jedoch die verfügbaren CAPTCHA-Optionen untersuchten, waren wir nicht zufrieden und beschlossen, unser eigenes zu entwickeln. Unser Hauptziel war, ein System bereitzustellen, das die Privatsphäre, Benutzerfreundlichkeit und Barrierefreiheit oder Sicherheit nicht gefährdet. Wenn du diese drei Prioritäten in einem Diagramm darstellst, wollten wir, dass unser CAPTCHA fest in der Mitte steht. 

Darüber hinaus bedeutete der Aufbau unserer eigenen Lösung, dass wir aktuelle Probleme mit der Verfügbarkeit von CAPTCHA für Mitglieder der Proton-Community in Ländern mit eingeschränkten Internetproblemen (zum Beispiel Iran und Russland) lösen konnten. Aufgrund unserer speziellen Bedürfnisse ist Proton CAPTCHA das erste CAPTCHA der Welt mit eingebauten zensurresistenten Technologien.

Unser System bietet folgende Funktionen:

  • Mit einem Datenschutzansatz, der vollständig der DSGVO entspricht
  • Mobilfreundlich
  • Keine Drittanbieter-Dienste
  • Unterstützung von alternatives Routing, das den Zugang für Menschen in eingeschränkten Ländern ermöglicht
  • Mehrfachabweisungen:
    1. Proof of Work: Rechenherausforderungen mit anpassbarer Schwierigkeit.
    2. Visuelle Herausforderungen: Mehrere visuelle Herausforderungen, einschließlich unserer von CERN inspirierten Partikel-Kollisionsherausforderung.
    3. Datenschutzfreundliche Bot-Erkennung 
  • Unterstützung für sehbehinderte Nutzer

Proton CAPTCHA zeichnet sich durch seine mehrschichtige Verteidigungsstrategie aus, die visuelle Herausforderungen mit dem Rechenproof of Work kombiniert. Warum beides? Während der Rechenproof of Work es für Angreifer „kostspieliger“ macht, eine Website anzugreifen, hält es sie nicht davon ab. Visuelle Herausforderungen sind jedoch immer noch effektiv, um die Mehrheit der Angriffe zu stoppen.

Eine mehrschichtige Verteidigungsstrategie

Die Kombination von visuellen Herausforderungen mit Rechenproof of Work (PoW) in CAPTCHA-Systemen schafft eine mehrschichtige Barriere, die folgende Vorteile bietet:

  1. Verteidigung in der Tiefe: Die Kombination von zwei verschiedenen Arten von Herausforderungen bietet eine Strategie der “Verteidigung in der Tiefe”. Selbst wenn eine Schicht kompromittiert ist, bietet die andere Schicht immer noch ein Maß an Sicherheit.
  2. Adaptive Schwierigkeit: Die Schwierigkeit der Rechenaufgabe kann basierend auf verdächtigem Verhalten angepasst werden. Wenn ein Nutzer beispielsweise bei einem visuellen CAPTCHA mehrmals scheitert, kann die nachfolgende PoW herausfordernder gestaltet werden, um potenzielle Bots zu verlangsamen.
  3. Verbesserte Zugänglichkeit: Für Nutzer mit Sehbehinderungen, die mit traditionellen CAPTCHAs Schwierigkeiten haben, bietet der Rechenproof of Work eine alternative Möglichkeit, sich zu verifizieren, während er dennoch eine Schutzschicht gegen Bots bereitstellt.

Proof of Work

Die Initialisierung eines CAPTCHAs kann selbst ein schwerer Serverprozess sein, da es erforderlich ist, die visuelle Herausforderung mit Bildverarbeitung zu erstellen. Um Angriffe auf diesen Endpunkt zu verhindern, fügen wir auch proof of work als Verteidigungslinie hinzu, um Bots davon abzuhalten, unser eigenes CAPTCHA-System gegen uns zu verwenden. 

Proof of Work wird allgemein mit mCaptcha(neues Fenster) und Friendly Captcha(neues Fenster) beliebter. Allerdings ist es riskant, sich ausschließlich auf Rechenherausforderungen als Verteidigungsstrategie zu verlassen. Obwohl diese Herausforderungen nicht störend sind, hängen sie stark von dem Gerät des Nutzers und dessen Fähigkeiten (Prozessorleistung oder Speicher) ab. Wenn ein Gerät zu langsam ist, kann die Nutzererfahrung suboptimal sein, da man möglicherweise viele Sekunden warten muss, bis die Herausforderungen abgeschlossen sind. Auf der anderen Seite würden leistungsstarke Server, die von einem Spammer genutzt werden, keine Schwierigkeiten haben, diese Herausforderungen relativ schnell zu lösen. 

Um dies zu adressieren, haben wir interne Tests an einer Vielzahl von Geräten durchgeführt, während wir unser System entwickelt haben. Dies hat uns geholfen, angemessene Schwierigkeitsgrade für alle Gerätetypen zu kalibrieren. Wenn unser CAPTCHA eine hohe Anzahl von Fehlschlägen bei den visuellen Herausforderungen beobachtet, soll es so konzipiert werden, dass der Schwierigkeitsgrad der Proof of Work-Herausforderung entsprechend erhöht wird.

Auf diese Weise wird ein Botnetz, das den ersten proof of work umgehen kann, aber Schwierigkeiten mit den visuellen Herausforderungen hat, mit zunehmend komplexen Berechnungen konfrontiert. Diese steigende Schwierigkeit macht den Prozess für das Botnetz kostspieliger, aber normale Menschen können schnell bestehen.

Visuelle Herausforderungen

Das typische CAPTCHA ist eine visuelle Herausforderung (oder eine Audioherausforderung für sehbehinderte Nutzer). Mit Proton CAPTCHA haben wir ein modulares System entwickelt, das mehrere Herausforderungsarten unterstützt. Wir haben uns vorgenommen, das CAPTCHA zumindest ein bisschen unterhaltsamer zu gestalten als herkömmliche CAPTCHAs und haben sogar unser eigenes, von CERN inspiriertes Spiel kreiert. Derzeit haben wir zwei: 

  1. Eine Herausforderung zur Strahlenausrichtung: Inspiriert von unseren Partikelkollisionsursprüngen bei CERN(neues Fenster), ist das Ziel, zwei rechteckige Balken auszurichten, die eine Strahlachse darstellen (von wo die Partikel abgeschossen werden), damit sie kollidieren können. Die Animation am Ende ist die Mühe wert, das versprechen wir.
  1. Ein intuitives 2D-Puzzle: Unsere Rätsel werden dynamisch auf dem Server aus vielen Basisfotografien erstellt, einige von Proton-Mitarbeitern, die anderen von Unsplash(neues Fenster). Das bedeutet, dass es unwahrscheinlich ist, dass du das gleiche Puzzle zweimal siehst.

Zusammenfassung

Proton CAPTCHA wurde in den letzten Monaten bereits Millionen von Nutzern bereitgestellt, 100 % der Captchas zur Anmeldung und zum Login verwenden jetzt unsere interne Lösung. 

Dies ist jedoch nur der Anfang der Reise. Unser Ziel ist es, ein CAPTCHA bereitzustellen, das zugänglich, benutzbar, datenschutzfreundlich und gegen selbst die fortschrittlichsten Bedrohungen geschützt ist. Daher kannst du mit mehr Innovation in diesem Bereich rechnen, wobei das Ziel darin besteht, die Belastung durch CAPTCHA für echte Nutzer zu reduzieren, während es Angreifern schwer gemacht wird, unsere Dienste zu missbrauchen.

Wir freuen uns auf dein Feedback und deine Vorschläge! In Zukunft ziehen wir möglicherweise auch in Betracht, es über eine API für Drittanbieter, die an Datenschutz interessiert sind, verfügbar zu machen. Um mehr zu erfahren, kannst du uns unter enterprise@proton.me kontaktieren.

Verwandte Artikel

laptop showing Bitcoin price climbing
en
  • Privatsphäre-Richtlinien
Learn what a Bitcoin wallet does and the strengths and weaknesses of custodial, self-custodial, hardware, and paper wallets.
pixel tracking: here's how to tell which emails track your activity
en
Discover what pixel tracking is and how it works, how to spot emails that track you, and how to block these hidden trackers.
A cover image for a blog describing the next six months of Proton Pass development which shows a laptop screen with a Gantt chart
en
Take a look at the upcoming features and improvements coming to Proton Pass over the next several months.
The Danish mermaid and the Dutch parliament building behind a politician and an unlocked phone
en
We searched the dark web for Danish, Dutch, and Luxembourgish politicians’ official email addresses. In Denmark, over 40% had been exposed.
Infostealers: What they are, how they work, and how to protect yourself
en
Discover insights about what infostealers are, where your stolen information goes, and ways to protect yourself.
Mockup of the Proton Pass app and text that reads "Pass Lifetime: Pay once, access forever"
en
Learn more about our exclusive Pass + SimpleLogin Lifetime offer. Pay once and enjoy premium password manager features for life.