Private Access Tokens und die Zukunft der Betrugsbekämpfung
Vor einigen Monaten haben wir Fastlys Unterstützung eines brandneuen Autorisierungsprotokolls – Private Access Tokens (PATs) – angekündigt. Falls PATs neu für Sie sind: Mithilfe von PATs können Origin-Administratoren, DevOps-Teams, Sicherheitsexperten und Betreiber von Webanwendungen ein Datenschutz-Attest für Properties eines Clients einholen, ohne dabei das Nutzererlebnis zu beeinträchtigen. Dies erfolgt über ein auf vertrauensvollen Beziehungen und moderner Kryptographie basierendes Protokoll für den Austausch von Tokens.
Aber wie sieht das nun in der Praxis aus? In diesem Artikel erläutern wir, wie uns diese neue Funktion im Kampf gegen automatisiert ausgeführte betrügerische oder missbräuchliche Aktivitäten einen enormen Schritt weiterbringt. Heutzutage müssen sich Administratoren mit mehreren komplexen Alternativen herumschlagen und dabei Sicherheit, Datenschutz, Nutzererlebnis und unternehmerischen Erfolg sorgfältig gegeneinander abwägen. Unsere Vision ist es, anhand von PATs eine Lösung bereitzustellen, die bei allen dieser vier Aspekte zu Verbesserungen führt und sich dabei deutlich von allen anderen Lösungen auf dem derzeitigen Markt für Bot-Abwehr abhebt.
Der Status quo: das CAPTCHA-Problem
Bei den derzeitigen Anstrengungen zur Abwehr von automatisierten und betrügerischen Aktivitäten verlässt man sich nahezu ausschließlich auf CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart). Dieser vollautomatische Turing-Test soll zwischen von Menschen ausgehendem und automatisch abgewickeltem Traffic unterscheiden. Ein Beispiel für einen CAPTCHA wäre ein Test, bei dem Sie auf alle Bilder mit einer Verkehrsampel klicken oder die in einem Kästchen angezeigten Buchstaben eingeben, damit festgestellt werden kann, ob hier ein Mensch am Werk ist. Falschantworten weisen demnach auf einen Bot hin. Dieses Verfahren bietet einige Vorteile und findet zum Schutz vor Missbrauch durch automatisierte Prozesse breite Anwendung auf Bezahlseiten, Login-Seiten und in sonstigen Formularen zur Verarbeitung sensibler Daten.
Leider sind CAPTCHAs aber auch mit zahlreichen Problemen behaftet. Zunächst einmal erfassen CAPTCHA und andere Anbieter von Lösungen zur Bot-Abwehr Browserdaten, um zwischen Mensch und Maschine unterscheiden zu können. Dabei ist es wenig überraschend, dass uns diese Anbieter nicht verraten, welche Daten sie erfassen und wie sie diese Daten verarbeiten. Das ist schließlich Teil ihres Geheimrezepts. Aus Sicht der Endnutzer, von denen diese Browserdaten abgerufen werden, um auf Webressourcen zugreifen zu können, bleiben dabei allerdings gewisse Datenschutzbedenken bestehen.
Hinzu kommt, dass zielstrebige Angreifer über eine Reihe von Mitteln verfügen, um CAPTCHAs und andere Lösungen zur Bot-Abwehr zu umgehen. Ein möglicher Angreifer kann einen CAPTCHA Farming Service anheuern und schlecht bezahlte Personen für unter 1,00 US-Dollar pro tausend Lösungen Puzzles und Aufgaben lösen lassen, die eine Maschine nicht einfach so schaffen würde. CAPTCHAs können zwar dafür sorgen, dass Angriffe weniger lukrativ sind (indem sie die Angriffe zu teuer für den Angreifer machen), fest entschlossene Angreifer werden aber auch dafür sicherlich eine Lösung finden.
Zu guter Letzt – und das ist möglicherweise der entscheidendste Punkt – können CAPTCHAs auch das Nutzererlebnis stark beeinträchtigen. Jeder UX-Liebhaber weiß, dass das Einfügen eines einzigen zusätzlichen Klicks in eine wichtige Sequenz wie eine Checkout-Seite zu einer deutlich niedrigeren Conversion-Rate führen kann. Wenn Sie sich nun vorstellen, in einen solchen Ablauf ein Puzzle mit vielen Klicks einzufügen, dann wird Ihnen klar, warum einige Administratoren lieber ein gewisses Betrugsrisiko in Kauf nehmen, als ihre Nutzer einer solch holprigen User Experience auszusetzen. Nach Schätzung des Baymard Institute schaffen bis zu 29 % der seriösen Nutzer es nicht, CAPTCHAs beim ersten Versuch zu lösen. Keine guten Aussichten also für Unternehmen, die darauf Wert legen, ihren Nutzern und Kunden ein hervorragendes Nutzererlebnis zu bieten.
Ein besserer Ansatz: Die Verheißung von Private Access Tokens
PATs lösen das fundamentale Problem mit CAPTCHAs und anderen derzeit verfügbaren Verfahren zur Bot-Abwehr, die jeglichen Traffic zunächst einmal als verdächtig betrachten und die Gefahr anhand von Aktionen der Nutzer und von Browserdaten bewerten. Im Gegensatz dazu basieren PATs auf einem bekannten Muster, das davon ausgeht, dass ein vertrauenswürdiger Dritter besser in der Lage ist, die Informationen eines an einer Transaktion Unbeteiligten zu verifizieren. Das ist wie eine Altersbestätigung durch Vorzeigen eines Personaldokuments – ein Dritter kennt irgendeine Information über Sie, und der andere an der Transaktion Beteiligte vertraut diesem Dritten.
Einzelheiten zur Funktionsweise von PATs finden Sie in unserem früheren Blogpost. Hier eine kurze Zusammenfassung: PATs basieren auf einem Ökosystem vertrauensvoller Beziehungen zwischen Token-Prüfern und -Ausstellern sowie zwischen Token-Ausstellern und Origin-Administratoren. Fordert ein Kunde nun eine Ressource von einem solchen Origin-Server an, kann der Origin-Server verlangen, dass der Kunde ein Token von einem vertrauenswürdigen Aussteller übermittelt. Falls vom Kunden unterstützt, kann der Kunde seinen vertrauenswürdigen Prüfer bitten, ein Token von einem bestimmten Aussteller abzurufen. Unter der Voraussetzung, dass das Vertrauen zwischen all diesen Beteiligten weiterhin besteht und dass der Client die vom Origin-Server gewünschte Property besitzt, kann ein kryptografisch sicheres Token vom Aussteller bedenkenlos generiert, signiert und den ganzen Weg zurück gesendet werden. Dieses Token gibt dem Client Zugriff auf die beim Origin-Server angefragte Ressource. Schließlich hat der Origin-Server nun einen handfesten Beleg dafür, dass der Client die gewünschte Property besitzt.
In diesem Post konzentrieren wir uns zwar auf die Nutzung von PATs anstelle von CAPTCHAS zur Abwehr von automatisierten Missbrauchsversuchen, sollten aber unbedingt erwähnen, dass PATs eigentlich dafür vorgesehen sind, die Vertrauenswürdigkeit beliebiger Anfragen nach gewünschten Informationen von einem Origin-Server vorgesehen sind. Origins möchten Inhalte übermitteln, die möglicherweise Alters-, Geo- oder Geräteeinschränkungen unterliegen. Mithilfe von PATs lässt sich verifizieren, ob Clients diesen Vorgaben genügen, ohne dabei Kompromisse beim Schutz von Client-Daten einzugehen. Somit bieten PATs wohl eine bessere Lösung für das Problem, zwischen Mensch und Maschine zu unterscheiden. Darüber hinaus haben sie auch noch weitere handfeste Vorteile zu bieten.
Die wohl bedeutendste Einschränkung von PATs liegt in ihrer Neuheit. Derzeit unterstützen nur Apple Geräte mit iOS 16 oder MacOS Ventura (zurzeit in Beta) PAT Challenges. Solange das Ökosystem aus Token-Prüfern und -Ausstellern noch nicht mehr Client-Typen unterstützt, müssen Origin-Administratoren für den Fall einer fehlgeschlagenen PAT Challenge ein Ersatzsystem zur Verifizierung von Client Properties in der Hinterhand haben. Bei den offensichtlichen Vorteilen dieses Protokolls und der dadurch in der Branche ausgelösten Begeisterungswelle, wird es wohl nur eine Frage der Zeit sein, bis weitere namhafte Anbieter von Geräten, Browsern und Betriebssystemen PATs unterstützen.
Wir von Fastly freuen uns, dass wir interessierten Entwicklern heute eine Demoversion eines PAT Ausstellers anbieten können. Wer möchte, erhält außerdem Zugriff auf ein Betaprogramm und einen Plan zur Integration von PAT Challenges als Handlungsregel in die Fastly Next-Gen WAF (powered by Signal Sciences). Bei Interesse wenden Sie sich an unsere Experten und lesen Sie regelmäßig unsere Blogposts zur Weiterentwicklung des PAT Ökosystems. Wir bleiben für Sie dran!
Dieser Blogpost erscheint unter der Rubrik „Privacy Week“. Hier veröffentlicht Fastly Wissenswertes über Möglichkeiten der praktischen Integration neuer Technologien zum Datenschutz in das komplexe Gebilde des Internets.