Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Das Ende der Cloudflare CAPTCHAs

2022-04-01

Lesezeit: 6 Min.
Dieser Beitrag ist auch auf English, 繁體中文, Français, 日本語, 한국어, und 简体中文 verfügbar.

Wir wissen alle, dass CAPTCHAs das Nutzererlebnis massiv stören. Darüber wurde bereits in diesem Blogbeitrag, und unzählige Male anderswo ausführlich diskutiert. Einer der Erfinder des CAPTCHA hat sich sogar öffentlich darüber beklagt, dass er „unwissentlich ein System geschaffen hat, das in Zehn-Sekunden-Schritten Millionen von Stunden einer äußerst wertvollen Ressource vergeudet: menschliche Gehirnströme.“ Wir mögen sie nicht, Sie mögen sie nicht.

The end of the road for Cloudflare CAPTCHAs

Deshalb haben wir beschlossen, keine CAPTCHAs mehr zu verwenden. Mithilfe eines iterativen Plattformansatzes haben wir die Anzahl der CAPTCHAs, die wir einsetzen, im vergangenen Jahr bereits um 91 % reduziert.

Bevor wir darüber sprechen, wie wir das geschafft haben und wie Sie uns helfen können, wollen wir mit einer einfachen Frage beginnen.

Warum in aller Welt wird CAPTCHA überhaupt noch verwendet?

Wenn alle der Meinung sind, dass CAPTCHA so schlecht ist, wenn seit 15 Jahren gefordert wird, es abzuschaffen, wenn der Erfinder bereut, es geschaffen zu haben, warum wird es dann immer noch häufig verwendet?

Die frustrierende Wahrheit ist, dass CAPTCHA trotz der Existenz von CAPTCHA-Lösungsdiensten ein wirksames Instrument zur Unterscheidung zwischen echten menschlichen Nutzern und Bots bleibt. Natürlich ist dies mit einem großen Kompromiss in Bezug auf die Benutzerfreundlichkeit verbunden, aber im Allgemeinen bestehen die Alternativen zu CAPTCHA darin, den Traffic zu blockieren oder zuzulassen, was naturgemäß zu einer Zunahme von falsch-positiven oder falsch-negativen Ergebnissen führt. Natürlich ist dies mit einem großen Kompromiss bei der Benutzerfreundlichkeit verbunden, aber im Allgemeinen bestehen die Alternativen zu CAPTCHA darin, den Traffic zu blockieren oder zuzulassen, was naturgemäß zu einer Zunahme von falsch-positiven oder falsch-negativen Ergebnissen führt.

CAPTCHAs sind auch deshalb eine sichere Wahl, weil so viele andere Websites sie verwenden. Sie delegieren die Reaktion auf Missbrauch an einen Dritten und eliminieren mit einer einfachen Integration das Risiko auf der Website. Wenn Sie die gängigste Lösung verwenden, werden Sie selten Probleme bekommen. Implementieren, einsetzen, nicht weiter nachdenken.

Schließlich ist CAPTCHA nützlich, weil es seit langem eine bekannte und stabile Ausgangsbasis hat. Wir verfolgen seit vielen Jahren eine Kennzahl namens CAPTCHA (oder Challenge) Solve Rate (CAPTCHA-Lösungsrate). Die CAPTCHA-Lösungsrate ist die Anzahl der gelösten CAPTCHAs, geteilt durch die Anzahl der Seitenaufrufe. Für unsere Zwecke zählt sowohl das Scheitern als auch der Nichtversuch, das CAPTCHA zu lösen, als Fehlschlag, da ein Nutzer in beiden Fällen nicht auf den gewünschten Inhalt zugreifen kann. Wir haben festgestellt, dass diese Kennzahl in der Regel für eine bestimmte Website stabil ist. Das heißt, wenn die Lösungsrate 1 % beträgt, bleibt sie in der Regel über die Zeit bei 1 %. Wir stellen außerdem fest, dass jede Veränderung der Lösungsrate – nach oben oder unten – ein deutlicher Hinweis auf einen laufenden Angriff ist. Kunden können ihre Protokolle auf Änderungen der Lösungsrate hin überprüfen und dann untersuchen, was passiert sein könnte.

Es wurden viele Alternativen zu CAPTCHA ausprobiert, darunter auch unsere eigene Cryptographic Attestation. Bis heute hat sich jedoch keine in dem Maße durchgesetzt wie CAPTCHAs. Wir glauben, dass der Versuch, CAPTCHA durch eine einzige Alternative zu ersetzen, der wichtigste Grund dafür ist. Wenn man CAPTCHA ersetzt, verliert man die stabile Vergangenheit der Lösungsrate, und die Entscheidungsfindung wird schwieriger. Wenn Sie von der Entschlüsselung von Text auf die Auswahl von Bildern umsteigen, erhalten Sie ganz andere Ergebnisse. Woher weiß man, ob diese Ergebnisse gut oder schlecht sind? Darum haben einen anderen Ansatz gewählt.

Viele Lösungen, nicht eine

Anstatt zu versuchen, CAPTCHA einseitig abzuschaffen und durch eine einzige Alternative zu ersetzen, haben wir eine Plattform aufgebaut, um viele Alternativen zu testen und herauszufinden, welche das beste Potenzial hat, CAPTCHA zu ersetzen. Wir nennen dies Cloudflare Managed Challenge.

Managed Challenge ist eine intelligentere Lösung als CAPTCHA. Sie verschiebt die Entscheidung darüber, ob ein visuelles Rätsel angezeigt werden soll, auf einen späteren Zeitpunkt im Datenfluss, nachdem mehr Informationen vom Browser verfügbar sind. Bisher konnte ein Cloudflare-Kunde nur zwischen einem CAPTCHA oder einer JavaScript-Challenge als Aktion einer Sicherheits- oder Firewall-Regel wählen. Jetzt entscheidet die Managed Challenge-Option, ob ein visuelles Rätsel oder ein anderes Mittel zum Nachweis der Menschlichkeit des Besuchers angezeigt wird, basierend auf dem Verhalten des Kunden während einer Challenge und auf den Telemetriedaten, die wir vom Besucher erhalten. Ein Kunde sagt uns einfach „Ich möchte, dass Sie (Cloudflare) geeignete Maßnahmen ergreifen, um diese Art von Traffic eine Challenge auszugeben, wie Sie es für notwendig halten.

Mit Managed Challenge passen wir das tatsächliche Ergebnis der Challenge an den jeweiligen Besucher/Browser an. Auf diese Weise können wir den Schwierigkeitsgrad der Challenge selbst feinabstimmen und vermeiden, mehr als 90 % der menschlichen Anfragen visuelle Puzzles anzuzeigen, während wir gleichzeitig Besuchern, die nicht-menschliche Verhaltensweisen zeigen, schwierigere Challenges präsentieren.

Wenn ein Besucher auf eine Managed Challenge stößt, führen wir zunächst eine Reihe kleiner, nicht interaktiver JavaScript-Challenges durch, um weitere Informationen über den Besucher/die Browserumgebung zu sammeln. Das bedeutet, dass wir die Erkennungen und Challenges zum Zeitpunkt der Anfrage im Browser durchführen. Challenges werden auf der Grundlage der Eigenschaften des Besuchers und der ursprünglichen Informationen, die wir über den Besucher haben, ausgewählt. Zu diesen Challenges gehören unter anderem Proof-of-Work, Proof-of-Space, Sondierung von Web-APIs und verschiedene Challenges bei der Erkennung von Browser-Fehlern und menschlichem Verhalten.

Sie enthalten auch Modelle für maschinelles Lernen, die gemeinsame Merkmale von Endbesuchern erkennen, die zuvor ein CAPTCHA bestanden haben. Die Berechnungshärte dieser anfänglichen Herausforderungen kann je nach Besucher variieren, ist aber auf eine schnelle Ausführung ausgerichtet. Managed Challenge ist auch in die Systeme Cloudflare Bot Management und „Super Bot Fight-Modus“ integriert, indem es Signale und Daten aus den Bot-Erkennungen nutzt.

Nachdem unsere nicht-interaktiven Challenges durchgeführt wurden, werten wir die gesammelten Signale aus. Wenn wir aufgrund der Kombination dieser Signale sicher sind, dass der Besucher wahrscheinlich ein Mensch ist, werden keine weiteren Maßnahmen ergriffen, und der Besucher wird ohne jegliche Interaktion auf die gewünschte Seite weitergeleitet. In einigen Fällen, wenn die Signale jedoch schwach sind, stellen wir dem Besucher ein visuelles Rätsel, um seine Menschlichkeit zu beweisen. Im Rahmen von Managed Challenge experimentieren wir auch mit anderen datenschutzfreundlichen Mitteln zum Nachweis der Menschlichkeit, um den Anteil der Zeit, in der Managed Challenge ein visuelles Rätsel verwendet, weiter zu reduzieren.

Wir haben letztes Jahr mit dem Testen von Managed Challenge begonnen und wählten zunächst eine Reihe von Challenges aus, darunter auch CAPTCHA. Zu Beginn wurde CAPTCHA noch in den allermeisten Fällen verwendet. Wir haben die Lösungsrate für die fragliche neue Aufgabe mit der bestehenden, stabilen Lösungsrate für CAPTCHA verglichen. Wir haben daher die CAPTCHA-Lösungsrate als Ziel verwendet, auf das wir hinarbeiten, um unsere CAPTCHA-Alternativen zu verbessern, die mit der Zeit immer besser werden. Die Challenge-Plattform ermöglicht es unseren Ingenieuren, auf einfache Weise neue Arten von Challenges zu erstellen, bereitzustellen und zu testen, ohne die Kunden zu beeinträchtigen. Stellt sich heraus, dass eine Challenge nicht nützlich ist, wird sie einfach abgeschafft. Wenn sie sich als nützlich erweist, werden wir sie häufiger einsetzen. Um die Grundwahrheit zu bewahren, wählen wir außerdem zufällig eine kleine Teilmenge von Besuchern aus, die immer ein visuelles Rätsel lösen, um unsere Signale zu validieren.

Managed Challenge zeigt eine bessere Performance als CAPTCHA

Die Challenge-Platform hat nun die gleiche stabile Lösungsrate wie die bisher verwendeten CAPTCHAs.

Durch einen iterativen Plattformansatz haben wir die Anzahl der von uns eingesetzten CAPTCHAs um 91 % reduziert. Das ist erst der Anfang. Bis Ende des Jahres werden wir die Verwendung von CAPTCHA als Herausforderung auf weniger als 1 % reduzieren. Indem wir den Schritt des visuellen Rätsels für fast alle Besucher überspringen, können wir die Zeit, die ein Besucher in einer Challenge verbringt, von durchschnittlich 32 Sekunden auf durchschnittlich nur eine Sekunde reduzieren, um unsere nicht-interaktiven Challenges auszuführen. Wir sehen auch Verbesserungen bei der Abwanderung: Unsere Telemetrie zeigt, dass Besucher mit menschlichen Eigenschaften eine Managed Challenge mit 31 % geringerer Wahrscheinlichkeit abbrechen als bei der traditionellen CAPTCHA-Aktion.

Heute wechselt die Managed-Challenge-Plattform zwischen vielen Challenges. Eine Managed-Challenge-Instanz besteht aus vielen untergeordneten Challenges: einige davon sind etabliert und effektiv, während andere neue Challenges sind, mit denen wir experimentieren. Sie alle sind viel, viel schneller und einfacher für Menschen auszufüllen als CAPTCHA und erfordern fast immer keine Interaktion des Besuchers.

Managed Challenge ersetzt CAPTCHA bei Cloudflare

Wir haben jetzt Managed Challenge im gesamten Cloudflare-Netzwerk implementiert. Jedes Mal, wenn wir einem Besucher ein CAPTCHA zeigen, geschieht dies über die Managed-Challenge-Plattform und dient nur als Benchmark, um zu überprüfen, ob unsere anderen Challenges die gleiche Performance haben.

Alle Cloudflare-Kunden können jetzt Managed Challenge als Antwortoption für jede Firewall-Regel anstelle von CAPTCHA wählen. Wir haben auch unser Dashboard aktualisiert, um alle Cloudflare-Kunden zu ermutigen, diese Wahl zu treffen.

Sie werden feststellen, dass wir den Namen der CAPTCHA-Option in „Legacy CAPTCHA“ geändert haben. Dies beschreibt genauer, was CAPTCHA ist: ein veraltetes Werkzeug, das man unserer Meinung nach nicht mehr benutzen sollte. Infolgedessen ist die Verwendung von CAPTCHA im gesamten Cloudflare-Netzwerk deutlich zurückgegangen, und der Einsatz von Managed Challenge ist drastisch gestiegen.

Wie oben erwähnt, macht CAPTCHA heute 9 % der gelösten Managed Challenges aus (hellblau), aber diese Zahl wird bis Ende des Jahres auf weniger als 1 % sinken. Sie sehen auch den grauen Balken oben, der anzeigt, wann unsere Kunden ein CAPTCHA als Antwort auf eine ausgelöste Firewall-Regel angezeigt haben. Wir möchten, dass diese Zahl auf Null sinkt, aber die gute Nachricht ist, dass 63 % der Kunden jetzt Managed Challenge anstelle von CAPTCHA wählen, wenn sie eine Firewall-Regel mit einer Challenge-Antwort-Aktion erstellen.

Wir gehen davon aus, dass diese Zahl im Laufe der Zeit weiter steigen wird.

Wenn Sie die Cloudflare WAF verwenden, loggen Sie sich heute in das Dashboard ein und sehen Sie sich alle Ihre Firewall-Regeln an. Wenn eine Ihrer Regeln „Legacy CAPTCHA“ als Antwort verwendet, ändern Sie sie bitte jetzt! Wählen Sie stattdessen die Antwortoption „Managed Challenge“ response option instead. Damit bieten Sie Ihren Nutzern eine bessere Erfahrung und behalten gleichzeitig das gleiche Schutzniveau wie bisher. Wenn Sie noch kein Kunde von Cloudflare sind, bleiben Sie dran, um zu erfahren, wie Sie Ihre Nutzung von CAPTCHA reduzieren können.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
CAPTCHAWAFSicherheitBots (DE)Produkt-News

Folgen auf X

Reid Tatoris|@reidtatoris
Benedikt Wolters|@worengawins
Cloudflare|@cloudflare

Verwandte Beiträge

24. Oktober 2024 um 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

08. Oktober 2024 um 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

06. Oktober 2024 um 23:00

Enhance your website's security with Cloudflare’s free security.txt generator

Introducing Cloudflare’s free security.txt generator, empowering all users to easily create and manage their security.txt files. This feature enhances vulnerability disclosure processes, aligns with industry standards, and is integrated into the dashboard for seamless access. Strengthen your website's security today!...

02. Oktober 2024 um 13:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....