image

Techbedrijven willen captcha's vervangen door private access tokens

donderdag 9 juni 2022, 11:45 door Redactie, 14 reacties

Apple, Google, Cloudflare en andere techbedrijven willen de captcha's die nu geregeld op websites verschijnen vervangen door private access tokens. Critici zijn bang dat gebruikers van bepaalde browsers of platformen straks worden buitengesloten. Bij private access tokens werken vier partijen samen, waaronder de fabrikanten van telefoons en computers.

Zodra de gebruiker een website bezoekt zal de webserver een private token challenge naar de gebruiker terugsturen. De webserver wil dat de gebruiker een token terugstuurt die van een vertrouwde token-uitgever afkomstig is. De gebruiker heeft dit token nog niet en vraagt vervolgens het token aan een "attester", wat de telefoon- of computerfabrikant kan zijn. Het token-verzoek is "blinded", waardoor het niet te koppelen is aan de challenge van de betreffende webserver.

De telefoon- of computerfabrikant zal nu het account en apparaat van de gebruiker controleren. Wanneer de fabrikant de gebruiker aan de hand van zijn telefoon of computer heeft gecontroleerd wordt het token-verzoek doorgestuurd naar de token-uitgever. De uitgever weet hierbij niets van de gebruiker. Aangezien het token-verzoek van een vertrouwde attester afkomstig is, signeert de uitgever het token en stuurt die naar de attester. De attester stuurt het gesigneerde token weer naar de gebruiker.

Op het toestel van de gebruiker wordt het token, in een proces dat "unblinding" wordt genoemd, omgezet zodat de webserver het token kan verifiëren. De webserver kan controleren dat het token door een vertrouwde uitgever is gesigneerd. Het is echter niet mogelijk om de gebruiker alleen aan de hand van het token te identificeren of herkennen.

Apple zal private access tokens ondersteunen in Safari op iOS 16, iPad 16 en macOS 13. Critici zijn bang dat gebruikers van bijvoorbeeld Linux of Firefox worden buitengesloten. Cloudflare laat weten dat het met andere browserleveranciers en fabrikanten samenwerkt om die ook van private access tokens gebruik te laten maken.

Image

Reacties (14)
09-06-2022, 12:30 door Anoniem
4 partijen. Privacy issues iemand?
09-06-2022, 13:16 door Anoniem
De telefoon- of computerfabrikant zal nu het account en apparaat van de gebruiker controleren. Wanneer de fabrikant de gebruiker aan de hand van zijn telefoon of computer heeft gecontroleerd wordt het token-verzoek doorgestuurd naar de token-uitgever.
Ofwel: je kan alleen naar de web site als iemand anders (je telefoon- of computerfabrikant) toestemming geeft?

Ik begrijp (een beetje) dat web sites willen weten of ze niet "leeg gelepeld worden" door een robot.
Maar de echte vraag is: Op welke manier helpt dit een gebruiker?

Q
09-06-2022, 13:18 door Erik van Straten
Vorig jaar kondigde Cloudflare [1] dit al aan voor hardware authentication keys (zoals Yubikey).

Ryan Sleevi [2] schreef daarover [3] onder meer (CF = Cloudflare):
I get that CF is trying to do something good, but this is fundamentally DRM, dressed up as trustworthy computing.

Die hardware keys zijn ondingen (duur, onbetrouwbaar, niet te backuppen, verliesrisico en binnenkort helemaal niche) en bijna niemand gebruikt ze, dus was deze "captcha-vervanger" niet levensvatbaar.

Met de m.i. radicale veranderingen die met "passkeys" op ons af komen, is het de hoogste tijd (hopelijk niet te laat) om ons af te vragen welke voor en nadelen spelen voor enerzijds eindgebruikers en anderzijds big tech; vendor lock-in is maar één van de risico's die eindgebruikers lopen. De hier spelende "attestation" is slechts een "bijwerking" van wachtwoordloos die voor een ander doel wordt ge-/misbruikt.

Bovendien is het nog maar de vraag of je met die attestation in alle gevallen aantoont dat er een mens "aan de knoppen" zit; datagraaiers zal er veel aan gelegen zijn om dit systeem te omzeilen.

Ten slotte: wellicht omdat het ingewikkelde materie betreft, is de aandacht voor "passwordless" nogal beperkt in de media. "Leuk" (vanuit security-oogpunt m.i. totaal niet) dat je met iOS 16 widgets op je lockscreen kunt zetten, maar belangrijker vernieuwingen zitten onder de motorkap. En natuurlijk komt niet alleen Apple met passwordless.

[1] https://blog.cloudflare.com/introducing-cryptographic-attestation-of-personhood/
[2] Volgens LinkedIn (nog met captcha) toen bij Google, sinds deze maand bij "Apple Cloud Services Security"
[3] https://twitter.com/sleevi_/status/1392852144324288514
09-06-2022, 13:50 door Anoniem
Voor zover ik zo kan beoordelen is een yubikey feitelijk je eigen potable attester...
09-06-2022, 14:00 door Anoniem
Hoe zal deze technologie in de toekomst ingezet worden? Fabrikanten (attesters) kunnen gebruikers een abonnement laten afsluiten of op een andere manier onkosten te vergoeden voor het afnemen van deze dienst. Fabrikanten kunnen er dan ook voor kiezen om gebruikers die niet betalen geen tokens meer te geven waardoor de apparatuur eigenlijk niet meer bruikbaar is. Daarnaast hebben fabrikanten een financieel motief om gebruikers geregeld nieuwe apparatuur te laten kopen. Wat als een fabrikant besluit om apparaten ouder dan twee jaar niet meer te ondersteunen?
09-06-2022, 14:24 door Anoniem
Als ik het plaatje bekijk en je de Token vervangt door Cookie, hebben we dit al als je inlogt met een account. Je moet dus overal inloggen met een 'Account' en je hardware geeft hiervoor toestemming met een sleutel (in de TPM gok ik, buiten de controle van de gebruiker).

Dit lost niet op dat je in een botnet terecht komt. De meest algemene manier om kwaadaardig te zijn voor een site die je bezoekt.

Ook heeft Apple nog meer stupide ideeën gelanceerd de afgelopen jaren. Zoals een kinderporno scanner die door End to End encryptie kan kijken. Ik stel de aanschaf voor een iPhone nog even uit in de hoop dat Apple meer privacy bewust wordt. Vroeger (tot die App Store kwam met Mountain Lion) waren ze wel goed bezig.
09-06-2022, 15:27 door Anoniem
De telefoon- of computerfabrikant zal nu het account en apparaat van de gebruiker controleren. Wanneer de fabrikant de gebruiker aan de hand van zijn telefoon of computer heeft gecontroleerd wordt het token-verzoek doorgestuurd naar de token-uitgever.

Wat exact controleren?

Uit het transscript (met het nodige verkooppraatjes-gehalte IMHO)

When the client needs to fetch a token, it contacts an iCloud attester and sends a token request. This token request is "blinded" so it can't be linked to the server challenge. The attester performs device attestation, using certificates stored in the device's Secure Enclave, and verifies that the account is in good standing.
This attester can also perform rate-limiting, to recognize if the client device is following normal patterns, or may have been compromised or used as part of a farm of devices.

Dus:
Hoe ga je je als individu tegen een negatieve rating van een algoritme beschermen. Nieuwe hardware aanschaffen?

Anders gezegd:
Hoe kom je weer van een zwarte lijst af, als je daar per ongeluk op tercht komt. (of iemand anders je erop gekregen heeft met een vorm van "identity faude"/spoofing)

Doe mij maar een captcha.


In de kop staat:

"Don't be captured by CAPTCHAs!"

Ik zou zeggen:

"Don't be captured by Private Access Tokens (because you are dependent on algorythms you don't know or control)".
09-06-2022, 15:49 door Anoniem
Door Anoniem:
Ik begrijp (een beetje) dat web sites willen weten of ze niet "leeg gelepeld worden" door een robot.
Maar de echte vraag is: Op welke manier helpt dit een gebruiker?

Je wordt als gebruiker behoorlijk gestoord van al die captcha puzzels die je moet oplossen wanneer je weer op z'n site terecht komt.

Ik zal niet zeggen of dit een _goede_ oplossing is, maar het antwoord op de vraag "wat heb ik als gebruiker eraan - geen captcha's meer" is wel heel duidelijk - en aantrekkelijk.

(en ik zit nu weer die zeik captcha in te vullen om dit te posten .)
09-06-2022, 17:12 door Anoniem
Door Anoniem:
Door Anoniem:
Ik begrijp (een beetje) dat web sites willen weten of ze niet "leeg gelepeld worden" door een robot.
Maar de echte vraag is: Op welke manier helpt dit een gebruiker?

Je wordt als gebruiker behoorlijk gestoord van al die captcha puzzels die je moet oplossen wanneer je weer op z'n site terecht komt.

Ik zal niet zeggen of dit een _goede_ oplossing is, maar het antwoord op de vraag "wat heb ik als gebruiker eraan - geen captcha's meer" is wel heel duidelijk - en aantrekkelijk.

(en ik zit nu weer die zeik captcha in te vullen om dit te posten .)

Ik vul liever een capcha in, dan dat een onbekende (een techbedrijf als Apple, Google etc.) bepaalt (en registreert!) of ik wel toegang mag...
09-06-2022, 18:10 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Ik begrijp (een beetje) dat web sites willen weten of ze niet "leeg gelepeld worden" door een robot.
Maar de echte vraag is: Op welke manier helpt dit een gebruiker?
Je wordt als gebruiker behoorlijk gestoord van al die captcha puzzels die je moet oplossen wanneer je weer op z'n site terecht komt.
Ik zal niet zeggen of dit een _goede_ oplossing is, maar het antwoord op de vraag "wat heb ik als gebruiker eraan - geen captcha's meer" is wel heel duidelijk - en aantrekkelijk.
(en ik zit nu weer die zeik captcha in te vullen om dit te posten .)
Ik vul liever een capcha in, dan dat een onbekende (een techbedrijf als Apple, Google etc.) bepaalt (en registreert!) of ik wel toegang mag...
+ 100
09-06-2022, 21:28 door Anoniem
Ik voorzie meer ongemak voor gebruikers achter een VPN of op Tor.
Ook een manier om bepaalde info onbeschikbaar te maken.
Token geweigerd vanwege niet transparant genoeg verzoek. User IP niet te controleren.
Iemand?
09-06-2022, 22:22 door Anoniem
Door Anoniem:
(en ik zit nu weer die zeik captcha in te vullen om dit te posten .)
Alleen tast de captcha hier jouw privacy niet aan. Wat recaptcha wel doet, daar valt een screenshot van de huidige pagina in handen van Google.
10-06-2022, 08:24 door hoekenees - Bijgewerkt: 10-06-2022, 08:27
Dit proces rammelt, opgegeven ogenblik wordt van de mobiele telefoon het IMEI nummer en security patch leven opgevraagd. Beide zijn vrij eenvoudig te manipuleren. Daarnaast zijn er de mobiele telefoons in omloop met gekloonde IMEI nummers.

Al met al twijfels of ea waterdicht is.

Bron:
https://blog.cloudflare.com/eliminating-captchas-on-iphones-and-macs-using-new-standard/
10-06-2022, 10:38 door Erik van Straten
Toen ik mijn bijdrage hierboven (https://security.nl/posting/756435) schreef, had ik onterecht aangenomen dat de "Privacy Access Tokens" voortbouwen op een vorig jaar door Cloudflare beschreven techniek (gebaseerd op WebAuthn) om captcha's te vervangen. Het gaat hier echter om een nieuw protocol. Die aanname was dus fout, sorry daarvoor.

In https://tweakers.net/nieuws/197728/cloudflare-brengt-private-access-tokens-uit-die-captchas-moeten-vervangen.html?showReaction=17603958#r_17603958 licht ik dit verder toe.

Bij "Privacy Access Tokens" is, naast client, server en attestor, ook sprake van een issuer. Zo te zien bepaalt de issuer of "de gebruiker" (of bot) toegang krijgt. Gegevens aangeleverd door de attestor spelen daarbij een rol, maar ik vermoed dat de issuer ook andere zaken kan meewegen.

Zijn devices zoals smartphones nog wel van ons als zij ons steeds meer in de gaten gaan houden, en big tech bedrijven gaan bepalen of wij brave burgers zijn? Mijn haren gaan overeind bij elke nieuwe techniek waar het woord "privacy" in voorkomt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.