iOS 16 wird ein Feature bieten, mit dem sich lästige CAPTCHAs im Internet umgehen lassen. Apple setzt dabei auf Private Access Token. Diese identifizieren den Nutzer durch die Übergabe verschiedener Informationen als Menschen und erlauben den Zugriff auf eine Webseite ohne das Lösen eines CAPTCHAs.
CAPTCHAs sind im Internet ein notwendiges Übel, um Menschen von Bots zu unterscheiden. Für Nutzer ist es allerdings ziemlich nervig, erst immer eine Rechenaufgabe zu lösen oder aus mehreren Bildern Ampeln herauszusuchen, bevor ihnen der Zugang zu einer Webseite gewährt wird. Mit den sogenannten Private Access Token (PAT) wird es in iOS 16 nun jedoch eine alternative Möglichkeit geben, sich als Mensch auszuweisen, berichtet 9to5Mac.
So funktioniert die Authentifizierung mit PATs in iOS 16
Wie die Identifizierung per PAT funktioniert, demonstrierte Apple bereits auf der WWDC 2022. Für gewöhnlich benötigt ein Server einen Beweis dafür, dass eine Anfrage zum Aufrufen eine Webseite von einem Menschen kommt. Durch das Lösen einer simplen Aufgabe, eines CAPTCHAs, identifizierst Du Dich als Mensch. Du kannst Dich allerdings auch über einen "Prüfer" (Attester) als Mensch ausweisen lassen. Unter iOS 16 ist das die iCloud.
Wenn ein Client eine Webseite auf einem Server aufrufen möchte, schickt dieser eine Identifizierungsanfrage zurück. Der Server verlangt ein Token, das belegt, dass ein Mensch hinter dem Client steckt. Dieses Token, konkreter das PAT, fragt der Client beim iCloud-Attester an. Dieser sammelt nun verschiedene Informationen, die belegen, dass der Nutzer menschlich ist. Zunächst holt sich der Attester Zertifikate, die in der Secure Enclave des Geräts (einem isolierten Bereich des Prozessors) liegen.
Weiterhin kann der Attester auch ein sogenanntes Rate-Limiting durchführen. Damit prüft der er, ob das Nutzungsverhalten des Geräts für einen Menschen typisch ist und kann so Geräte aus einer Bot- oder Click-Farm ausschließen. Besteht der Client alle Prüfungen des Attesters, schickt er einen signierten Token an den Server zurück und der Nutzer kann die Webseite ohne CAPTCHA aufrufen.
Die Daten des Nutzers bleiben geheim
Wie gewohnt achtet Apple auch bei dieser Methode darauf, dass die Daten der Nutzer geschützt sind. Der Server, der den Token anfragt, bekommt von den PATs keine Informationen über das Gerät oder den Nutzer. Diese sind für ihn auch gar nicht relevant, ihn interessiert nur, ob der Token von einem Attester validiert wurde.
Verifizierungsmethode bereits in Beta von iOS 16 nutzbar
Wer schon jetzt auf das Lösen von CAPTCHAs verzichten möchte, kann die neue Validierung über PATs schon in der Beta von iOS 16 aktivieren. Das Feature befindet sich im Menüpunkt "Apple-ID" unter "Passwort & Sicherheit". Dort muss die Funktion "Automatische Verifikation" aktiviert werden.
Es gibt allerdings noch einen Haken: Die neue Verifizierungsmethode muss auch von den Web-Hostern unterstützt werden. Cloudflare und Fastly unterstützen die neue Methode schon jetzt. Weitere Anbieter sollen zukünftig folgen.
