Der neue CAPTCHA-Ersatz von Cloudflare erfordert mehr Arbeit
Der beliebte CDN- und DNS-Dienstleister Cloudflare will CAPTCHAs ein Ende setzen und behauptet, dass die Menschheit jeden Tag 500 Stunden damit verschwendet, auf die lästigen „Beweise, dass du kein Roboter bist“-Tests zu starren. Und obwohl der vom Unternehmen vorgeschlagene Ersatz nicht gerade perfekt ist, Es ist ein Schritt in die richtige Richtung, der den Grundstein für zukünftige Authentifizierungsstandards legen könnte.
CAPTCHA ist ein „vollständig automatisierter öffentlicher Turing-Test, um Computer und Menschen voneinander zu unterscheiden“. Wie ein Türsteher in einem Nachtclub verwendet CAPTCHA einfache Fragen oder Rätsel, um zu verhindern, dass Roboter Websites überrennen. Aber CAPTCHA ist scheiße. Die Tests sind langsam und verwirrend, sie funktionieren nicht immer richtig und sie sind für Sehbehinderte nicht immer zugänglich.
Google versucht sein Bestes , um CAPTCHA zu reparieren, aber Cloudflare will es abschaffen und durch etwas namens „Cryptographic Attestation of Personhood“ ersetzen, was eine schicke Art zu sagen ist „ein Stück Hardware, das beweist, dass Sie ein Mensch sind“. Es überrascht nicht, dass sich Cloudflare in seinen frühen Tests für diese Authentifizierungsmethode auf USB-Sicherheitsschlüssel konzentriert.
Wenn Sie einen YubiKey, HyperFIDO-Schlüssel oder Thetis FIDO U2F-Sicherheitsschlüssel besitzen, können Sie jetzt das beeindruckende neue Authentifizierungssystem von Cloudflare testen. Schließen Sie einfach den USB-Sicherheitsschlüssel an Ihren Computer an, geben Sie der Website die Erlaubnis, Ihren Schlüssel zu sehen, klicken Sie auf den Schlüssel, und schon können Sie losfahren (na ja, Sie werden zurück zum Blog von Cloudflare weitergeleitet). Das System ist nicht nur schnell, sondern auch für Sehbehinderte zugänglich. Es schützt auch die Privatsphäre der Benutzer, da der Sicherheitsschlüssel, der für Ihre Menschlichkeit bürgt, nicht eindeutig an Ihren Namen oder Ihr Gerät gebunden ist.
Es würde nicht viel Arbeit erfordern, damit die Technologie Mobiltelefone unterstützt, die dank Google für Sicherheitsschlüssel einspringen können. Cloudflare schlägt auch eine Zukunft vor, in der Hersteller „Cryptographic Attestation of Personhood“-Hardware direkt in Geräte einbauen. Diese Chips könnten mithilfe eines speziellen Codes, der dem Hersteller zugeordnet ist, überprüfen, ob Ihr Computer echt und einzigartig ist.
Aber sind diese Authentifizierungsmethoden effektiv? Was hindert einen Roboter daran, einen USB-Sicherheitsschlüssel oder andere „Bestätigungs“-Tools zu verwenden (oder zu fälschen)? Wie Ackermann Yuriy , CEO von Webatuhn Works, betont, sind FIDO-Schlüssel nicht nur leicht zu fälschen, sondern sie funktionieren auch unglaublich schnell und sind relativ anonym, sodass eine Bot-Farm, die sich mit einer Handvoll Schlüsseln verbindet, leicht eine Website überlaufen könnte, die mit dem System von Cloudflare geschützt ist.
Die Leute planen bereits ausgeklügelte Schemata, um den von Cloudflare vorgeschlagenen CAPTCHA-Ersatz zu durchbrechen, ein Indikator dafür, dass die „kryptografische Bescheinigung der Persönlichkeit“ nicht die Zukunft ist, zumindest nicht in ihrem derzeitigen Zustand. Aber die Authentifizierungsmethode ist unglaublich praktisch, ziemlich privat und ziemlich einfach zu implementieren. Kurz gesagt, die Schleusen sind offen, es ist Zeit für CAPTCHA zu sterben, und Cloudflare macht den ersten Schritt in die richtige Richtung.
Quelle: Cloudflare über The Verge