La nuova sostituzione CAPTCHA di Cloudflare richiede più lavoro
Il popolare fornitore di servizi CDN e DNS Cloudflare vuole porre fine ai CAPTCHA, affermando che l’umanità spreca 500 ore a fissare i fastidiosi test "dimostra di non essere un robot" ogni giorno. E mentre la sostituzione proposta dall’azienda non è esattamente perfetta, è un passo nella giusta direzione che potrebbe gettare le basi per futuri standard di autenticazione.
CAPTCHA è un "test di Turing pubblico completamente automatizzato per distinguere i computer dagli esseri umani". Come un buttafuori in una discoteca, CAPTCHA utilizza semplici domande o enigmi per impedire ai robot di invadere i siti Web. Ma il CAPTCHA fa schifo. I test sono lenti e confusi, non sempre funzionano correttamente e non sono sempre accessibili a chi è ipovedente.
Google sta facendo del suo meglio per correggere CAPTCHA, ma Cloudflare vuole eliminarlo e sostituirlo con qualcosa chiamato "Cryptographic Attestation of Personhood", che è un modo elegante per dire "un pezzo di hardware che dimostra che sei un essere umano". Non sorprende che Cloudflare si stia concentrando sulle chiavi di sicurezza USB nei suoi primi test per questo metodo di autenticazione.
Se possiedi una chiave di sicurezza YubiKey, HyperFIDO o Thetis FIDO U2F, puoi testare ora il nuovo impressionante sistema di autenticazione di Cloudflare. Collega semplicemente la chiave di sicurezza USB al tuo computer, autorizza il sito Web a vedere la tua chiave, fai clic sulla chiave e poi sei pronto per le gare (beh, verrai reindirizzato al blog di Cloudflare). Non solo il sistema è veloce, ma è accessibile anche alle persone ipovedenti. Protegge anche la privacy degli utenti, poiché la chiave di sicurezza che garantisce la tua umanità non è legata in modo univoco al tuo nome o dispositivo.
Non ci vorrebbe molto lavoro per la tecnologia per supportare i telefoni cellulari, che possono sostituire le chiavi di sicurezza grazie a Google. Cloudflare propone anche un futuro in cui i produttori costruiscono hardware "Cryptographic Attestation of Personhood" direttamente nei dispositivi. Questi chip potrebbero verificare che il tuo computer sia reale e unico utilizzando un codice speciale associato al produttore.
Ma questi metodi di autenticazione sono efficaci? Cosa impedisce a un robot di utilizzare (o falsificare) una chiave di sicurezza USB o qualsiasi altro strumento di "attestazione"? Come sottolinea Ackermann Yuriy, CEO di Webatuhn Works, le chiavi FIDO non sono solo facili da falsificare, ma funzionano anche in modo incredibilmente veloce e sono relativamente anonime, quindi una bot farm collegata a una manciata di chiavi potrebbe facilmente sovraccaricare un sito Web protetto con il sistema di Cloudflare.
Le persone stanno già progettando schemi elaborati per superare la proposta di sostituzione del CAPTCHA da parte di Cloudflare, un indicatore del fatto che "l’attestazione crittografica della personalità" non è il futuro, almeno non nella sua condizione attuale. Ma il metodo di autenticazione è incredibilmente conveniente, abbastanza privato e abbastanza facile da implementare. In breve, le chiuse sono aperte, è ora che il CAPTCHA muoia e Cloudflare sta facendo il primo passo nella giusta direzione.
Fonte: Cloudflare tramite The Verge