Popularny dostawca usług CDN i DNS, Cloudflare, chce położyć kres CAPTCHA, twierdząc, że ludzkość marnuje 500 godzin codziennie wpatrując się w irytujące testy „udowodnij, że nie jesteś robotem". to krok we właściwym kierunku, który może położyć podwaliny pod przyszłe standardy uwierzytelniania.
CAPTCHA to „całkowicie zautomatyzowany publiczny test Turinga, aby odróżnić komputery od ludzi”. Niczym bramkarz w nocnym klubie, CAPTCHA używa prostych pytań lub łamigłówek, aby uniemożliwić robotom atakowanie stron internetowych. Ale CAPTCHA jest do bani. Testy są powolne i mylące, nie zawsze działają poprawnie i nie zawsze są dostępne dla osób niedowidzących.
Google dokłada wszelkich starań, aby naprawić CAPTCHA, ale Cloudflare chce go zabić i zastąpić czymś, co nazywa się „kryptograficznym poświadczeniem osobowości”, co jest fantazyjnym sposobem powiedzenia „elementu sprzętowego, który udowadnia, że jesteś człowiekiem”. Nic dziwnego, że Cloudflare koncentruje się na kluczach bezpieczeństwa USB we wczesnych testach tej metody uwierzytelniania.
Jeśli posiadasz klucz YubiKey, HyperFIDO lub klucz bezpieczeństwa Thetis FIDO U2F, możesz teraz przetestować imponujący nowy system uwierzytelniania Cloudflare. Po prostu podłącz klucz bezpieczeństwa USB do komputera, zezwól witrynie na wyświetlenie klucza, kliknij klucz, a następnie ruszasz na wyścigi (cóż, następuje przekierowanie z powrotem do bloga Cloudflare). System jest nie tylko szybki, ale także dostępny dla osób niedowidzących. Chroni również prywatność użytkownika, ponieważ klucz bezpieczeństwa, który gwarantuje twoje człowieczeństwo, nie jest jednoznacznie powiązany z twoim imieniem i urządzeniem.
Technologia obsługująca telefony komórkowe, które dzięki Google może zastąpić klucze bezpieczeństwa, nie wymagałaby wiele pracy. Cloudflare proponuje również przyszłość, w której producenci wbudowują sprzęt „Cryptographic Atestation of Personhood” bezpośrednio do urządzeń. Te chipy mogą zweryfikować, czy Twój komputer jest prawdziwy i niepowtarzalny, za pomocą specjalnego kodu powiązanego z producentem.
Ale czy te metody uwierzytelniania są skuteczne? Co powstrzymuje robota przed użyciem (lub podszywaniem się) klucza bezpieczeństwa USB lub jakichkolwiek innych narzędzi „atestacyjnych”? Jak wskazuje CEO Webatuhn Works, Ackermann Yuriy, klucze FIDO są nie tylko łatwe do sfałszowania, ale także działają niesamowicie szybko i są stosunkowo anonimowe, więc farma botów podłączona do kilku kluczy może z łatwością przejąć witrynę chronioną przez system Cloudflare.
Ludzie już knują skomplikowane schematy, aby przełamać proponowaną przez Cloudflare zamianę CAPTCHA, wskaźnik, że „kryptograficzne poświadczenie osobowości” nie jest przyszłością, przynajmniej nie w obecnej formie. Ale metoda uwierzytelniania jest niezwykle wygodna, dość prywatna i dość łatwa do wdrożenia. Krótko mówiąc, śluzy są otwarte, czas na śmierć CAPTCHA, a Cloudflare robi pierwszy krok we właściwym kierunku.
Źródło: Cloudflare przez The Verge