Cloudflaren uusi CAPTCHA-korvaus vaatii enemmän työtä
Suosittu CDN- ja DNS-palveluntarjoaja Cloudflare haluaa tehdä lopun CAPTCHA :sta väittäen, että ihmiskunta tuhlaa 500 tuntia tuijottaen joka päivä ärsyttäviä "todista, ettet ole robotti" -testejä. Ja vaikka yrityksen ehdottama korvaaminen ei ole aivan täydellinen, se on askel oikeaan suuntaan, joka voi luoda pohjan tuleville todennusstandardeille.
CAPTCHA on "täysin automatisoitu julkinen Turing-testi, joka erottaa tietokoneet ja ihmiset toisistaan". CAPTCHA käyttää yksinkertaisia kysymyksiä tai arvoituksia, kuten yökerhon pomppija, estääkseen robotteja ylittämästä verkkosivustoja. Mutta CAPTCHA on perseestä. Testit ovat hitaita ja hämmentäviä, ne eivät aina toimi oikein, eivätkä ne aina ole näkövammaisten saatavilla.
Google yrittää parhaansa korjata CAPTCHA :n, mutta Cloudflare haluaa tuhota sen ja korvata sen jollain nimellä "Cryptographic Attestation of Personhood", joka on hieno tapa sanoa "laitteisto, joka todistaa, että olet ihminen". Ei ole yllättävää, että Cloudflare keskittyy USB-suojausavaimiin tämän todennusmenetelmän varhaisissa testeissä.
Jos omistat YubiKeyn, HyperFIDO-avaimen tai Thetis FIDO U2F -suojausavaimen, voit testata Cloudflaren vaikuttavaa uutta todennusjärjestelmää nyt. Yhdistä vain USB-suojausavain tietokoneeseesi, anna verkkosivustolle lupa nähdä avaimesi, napsauta avainta ja sitten voit lähteä kilpailuihin (no, sinut ohjataan takaisin Cloudflaren blogiin). Järjestelmä ei ole vain nopea, vaan se on myös näkövammaisten käytettävissä. Se suojaa myös käyttäjien yksityisyyttä, sillä ihmisyytesi takaava suoja-avain ei ole yksiselitteisesti sidottu nimeesi tai laitteeseen.
Teknologia ei vaadi paljon työtä tukemaan matkapuhelimia, jotka voivat kestää suojausavaimia Googlen ansiosta. Cloudflare ehdottaa myös tulevaisuutta, jossa valmistajat rakentavat "Cryptographic Attestation of Personhood" -laitteiston suoraan laitteisiin. Nämä sirut voivat varmistaa, että tietokoneesi on todellinen ja ainutlaatuinen käyttämällä valmistajaan liittyvää erityistä koodia.
Mutta ovatko nämä todennusmenetelmät tehokkaita? Mikä estää robottia käyttämästä (tai huijaamasta) USB-suojausavainta tai muita "todistustyökaluja"? Kuten Webatuhn Worksin toimitusjohtaja Ackermann Yuriy huomauttaa, FIDO-avaimia ei ole vain helppo huijata, vaan ne toimivat myös uskomattoman nopeasti ja ovat suhteellisen anonyymejä, joten bot-farmin liittäminen kouralliseen avaimiin voi helposti ylittää Cloudflaren järjestelmällä suojatun verkkosivuston.
Ihmiset suunnittelevat jo monimutkaisia suunnitelmia murtaakseen Cloudflaren ehdottaman CAPTCHA-korvauksen, mikä osoittaa, että "Persoonallisuuden kryptografinen todistus" ei ole tulevaisuutta, ainakaan nykyisessä tilassaan. Mutta todennusmenetelmä on uskomattoman kätevä, melko yksityinen ja melko helppo toteuttaa. Lyhyesti sanottuna tulvaportit ovat auki, CAPTCHA:n on aika kuolla ja Cloudflare ottaa ensimmäisen askeleen oikeaan suuntaan.
Lähde: Cloudflare The Vergen kautta