Cloudflare unterstützt biometrische Hardware-Authentifikatoren als CAPTCHA-Ersatz
CAPTCHAs werden von vielen, wenn nicht sogar den meisten Internetnutzern als lästig empfunden, und wie Cloudflare betont, können sie für Menschen, die bestimmte Sprachen nicht lesen können oder ein mobiles Gerät benutzen, ein Hindernis bei der Nutzung darstellen. Biometrische Authentifikatoren können nun von Cloudflare-Nutzern verwendet werden, um zu beweisen, dass sie keine Bots sind. Dies ist eine Erweiterung der CAP-Studie (Cryptographic Attestation of Personhood) des Content Delivery Network.
Die Verwendung nativer Gerätebiometrie wie FaceID und TouchID auf iPhones und Android Biometric Authentication ermöglicht es Nutzern, dieselbe Überprüfung in einem fünfsekündigen Prozess mit biometrischen Gesichts- oder Fingerabdrücken durchzuführen, so Cloudflare in einem Blogpost. Die biometrischen Daten werden nicht zu Cloudflare hochgeladen, sondern auf dem Gerät in einer FIDO-ähnlichen Transaktion gespeichert. Ebenso werden nun Hardware-USB- und NFC-Token unterstützt, die von der FIDO Alliance zertifiziert sind und keine dem FIDO Alliance Metadata Service (MDS 3.0) bekannten Sicherheitslücken aufweisen.
Hardware-Authentifikatoren funktionieren für Apple- und Android-Geräte etwas anders, basieren aber auf einer vertrauenswürdigen Ausführungsumgebung (TEE) oder einem vertrauenswürdigen Plattformmodul (TPM), um biometrische Daten zu speichern und zu verwenden, ohne die Privatsphäre des Benutzers zu gefährden, schreibt Cloudflare.
Hardware-Authentifizierung in diesem Modell teilt typischerweise nur Informationen über die Marke und das Modell des Gerätes, das die Authentifizierung bestätigt. Cloudflare sagt, dass es einen Schritt weiter gegangen ist, indem es eine Form von Zero Knowledge Proofs verwendet, die darauf abzielt, nichts über den Benutzer oder sein Gerät zu erfahren, außer dass er im Besitz eines gültigen Sicherheitsschlüssels ist.
“Unsere Testgruppe hat unsere Lösung zur kryptografischen Bestätigung der Persönlichkeit mit Face ID ausprobiert und uns ihre Meinung mitgeteilt”, schreibt Cloudflare Product Manager for Research, Wesley Evans. “Wir haben festgestellt, dass die Lösungszeiten mit Face ID und Touch ID deutlich schneller waren als die Auswahl von Bildern, und das fast ohne Fehler. Die Nutzer bevorzugten diese Alternative bei weitem und machten Verbesserungsvorschläge für das Nutzererlebnis, die wir in unsere Implementierung aufgenommen haben.”
Darüber hinaus stellt Cloudflare fest, dass, obwohl die Biometrie in der ersten Phase der CAP-Einführung nicht als Bescheinigungsmethode aktiviert wurde, sie nach YubiKeys die am häufigsten verwendete Methode war.
