Proton

Bei Proton arbeiten wir ständig an neuen und innovativen Möglichkeiten, die Privatsphäre und Daten der Proton-Community zu schützen. Manchmal bedeutet das, komplett neue Dienste zu entwickeln, wie unser Proton Sentinel-Programm, das KI und menschliche Sicherheitsanalysten kombiniert, um die Kontosicherheit für prominente Nutzer zu erhöhen. Manchmal bedeutet es, eine alte Idee auf neue Weise umzusetzen, wie bei unserem neuen, maßgeschneiderten CAPTCHA.

In unserem Was sind CAPTCHAs?-Beitrag haben wir erklärt, was CAPTCHAs sind, wie sie funktionieren und einen Fahrplan für die zukünftige Entwicklung, um CAPTCHAs als erste Verteidigungslinie gegen Bots und Spam auf dem Internet an der Spitze zu halten.

Bei Proton müssen wir auch unsere Website vor Bots und Spam schützen. Als wir jedoch die verfügbaren CAPTCHA-Optionen untersuchten, waren wir nicht zufrieden und beschlossen, unser eigenes zu entwickeln. Unser Hauptziel war, ein System bereitzustellen, das die Privatsphäre, Benutzerfreundlichkeit und Barrierefreiheit oder Sicherheit nicht gefährdet. Wenn du diese drei Prioritäten in einem Diagramm darstellst, wollten wir, dass unser CAPTCHA fest in der Mitte steht. 

Darüber hinaus bedeutete der Aufbau unserer eigenen Lösung, dass wir aktuelle Probleme mit der Verfügbarkeit von CAPTCHA für Mitglieder der Proton-Community in Ländern mit eingeschränkten Internetproblemen (zum Beispiel Iran und Russland) lösen konnten. Aufgrund unserer speziellen Bedürfnisse ist Proton CAPTCHA das erste CAPTCHA der Welt mit eingebauten zensurresistenten Technologien.

Unser System bietet folgende Funktionen:

  • Mit einem Datenschutzansatz, der vollständig der DSGVO entspricht
  • Mobilfreundlich
  • Keine Drittanbieter-Dienste
  • Unterstützung von alternatives Routing, das den Zugang für Menschen in eingeschränkten Ländern ermöglicht
  • Mehrfachabweisungen:
    1. Proof of Work: Rechenherausforderungen mit anpassbarer Schwierigkeit.
    2. Visuelle Herausforderungen: Mehrere visuelle Herausforderungen, einschließlich unserer von CERN inspirierten Partikel-Kollisionsherausforderung.
    3. Datenschutzfreundliche Bot-Erkennung 
  • Unterstützung für sehbehinderte Nutzer

Proton CAPTCHA zeichnet sich durch seine mehrschichtige Verteidigungsstrategie aus, die visuelle Herausforderungen mit dem Rechenproof of Work kombiniert. Warum beides? Während der Rechenproof of Work es für Angreifer „kostspieliger“ macht, eine Website anzugreifen, hält es sie nicht davon ab. Visuelle Herausforderungen sind jedoch immer noch effektiv, um die Mehrheit der Angriffe zu stoppen.

Eine mehrschichtige Verteidigungsstrategie

Die Kombination von visuellen Herausforderungen mit Rechenproof of Work (PoW) in CAPTCHA-Systemen schafft eine mehrschichtige Barriere, die folgende Vorteile bietet:

  1. Verteidigung in der Tiefe: Die Kombination von zwei verschiedenen Arten von Herausforderungen bietet eine Strategie der “Verteidigung in der Tiefe”. Selbst wenn eine Schicht kompromittiert ist, bietet die andere Schicht immer noch ein Maß an Sicherheit.
  2. Adaptive Schwierigkeit: Die Schwierigkeit der Rechenaufgabe kann basierend auf verdächtigem Verhalten angepasst werden. Wenn ein Nutzer beispielsweise bei einem visuellen CAPTCHA mehrmals scheitert, kann die nachfolgende PoW herausfordernder gestaltet werden, um potenzielle Bots zu verlangsamen.
  3. Verbesserte Zugänglichkeit: Für Nutzer mit Sehbehinderungen, die mit traditionellen CAPTCHAs Schwierigkeiten haben, bietet der Rechenproof of Work eine alternative Möglichkeit, sich zu verifizieren, während er dennoch eine Schutzschicht gegen Bots bereitstellt.

Proof of Work

Die Initialisierung eines CAPTCHAs kann selbst ein schwerer Serverprozess sein, da es erforderlich ist, die visuelle Herausforderung mit Bildverarbeitung zu erstellen. Um Angriffe auf diesen Endpunkt zu verhindern, fügen wir auch proof of work als Verteidigungslinie hinzu, um Bots davon abzuhalten, unser eigenes CAPTCHA-System gegen uns zu verwenden. 

Proof of Work wird allgemein mit mCaptcha(neues Fenster) und Friendly Captcha(neues Fenster) beliebter. Allerdings ist es riskant, sich ausschließlich auf Rechenherausforderungen als Verteidigungsstrategie zu verlassen. Obwohl diese Herausforderungen nicht störend sind, hängen sie stark von dem Gerät des Nutzers und dessen Fähigkeiten (Prozessorleistung oder Speicher) ab. Wenn ein Gerät zu langsam ist, kann die Nutzererfahrung suboptimal sein, da man möglicherweise viele Sekunden warten muss, bis die Herausforderungen abgeschlossen sind. Auf der anderen Seite würden leistungsstarke Server, die von einem Spammer genutzt werden, keine Schwierigkeiten haben, diese Herausforderungen relativ schnell zu lösen. 

Um dies zu adressieren, haben wir interne Tests an einer Vielzahl von Geräten durchgeführt, während wir unser System entwickelt haben. Dies hat uns geholfen, angemessene Schwierigkeitsgrade für alle Gerätetypen zu kalibrieren. Wenn unser CAPTCHA eine hohe Anzahl von Fehlschlägen bei den visuellen Herausforderungen beobachtet, soll es so konzipiert werden, dass der Schwierigkeitsgrad der Proof of Work-Herausforderung entsprechend erhöht wird.

Auf diese Weise wird ein Botnetz, das den ersten proof of work umgehen kann, aber Schwierigkeiten mit den visuellen Herausforderungen hat, mit zunehmend komplexen Berechnungen konfrontiert. Diese steigende Schwierigkeit macht den Prozess für das Botnetz kostspieliger, aber normale Menschen können schnell bestehen.

Visuelle Herausforderungen

Das typische CAPTCHA ist eine visuelle Herausforderung (oder eine Audioherausforderung für sehbehinderte Nutzer). Mit Proton CAPTCHA haben wir ein modulares System entwickelt, das mehrere Herausforderungsarten unterstützt. Wir haben uns vorgenommen, das CAPTCHA zumindest ein bisschen unterhaltsamer zu gestalten als herkömmliche CAPTCHAs und haben sogar unser eigenes, von CERN inspiriertes Spiel kreiert. Derzeit haben wir zwei: 

  1. Eine Herausforderung zur Strahlenausrichtung: Inspiriert von unseren Partikelkollisionsursprüngen bei CERN(neues Fenster), ist das Ziel, zwei rechteckige Balken auszurichten, die eine Strahlachse darstellen (von wo die Partikel abgeschossen werden), damit sie kollidieren können. Die Animation am Ende ist die Mühe wert, das versprechen wir.
  1. Ein intuitives 2D-Puzzle: Unsere Rätsel werden dynamisch auf dem Server aus vielen Basisfotografien erstellt, einige von Proton-Mitarbeitern, die anderen von Unsplash(neues Fenster). Das bedeutet, dass es unwahrscheinlich ist, dass du das gleiche Puzzle zweimal siehst.

Zusammenfassung

Proton CAPTCHA wurde in den letzten Monaten bereits Millionen von Nutzern bereitgestellt, 100 % der Captchas zur Anmeldung und zum Login verwenden jetzt unsere interne Lösung. 

Dies ist jedoch nur der Anfang der Reise. Unser Ziel ist es, ein CAPTCHA bereitzustellen, das zugänglich, benutzbar, datenschutzfreundlich und gegen selbst die fortschrittlichsten Bedrohungen geschützt ist. Daher kannst du mit mehr Innovation in diesem Bereich rechnen, wobei das Ziel darin besteht, die Belastung durch CAPTCHA für echte Nutzer zu reduzieren, während es Angreifern schwer gemacht wird, unsere Dienste zu missbrauchen.

Wir freuen uns auf dein Feedback und deine Vorschläge! In Zukunft ziehen wir möglicherweise auch in Betracht, es über eine API für Drittanbieter, die an Datenschutz interessiert sind, verfügbar zu machen. Um mehr zu erfahren, kannst du uns unter enterprise@proton.me kontaktieren.

Verwandte Artikel

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
  • Privatsphäre-Richtlinien
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.