A nova substituição de CAPTCHA da Cloudflare precisa de mais trabalho
O popular provedor de serviços de CDN e DNS Cloudflare quer acabar com os CAPTCHAs, alegando que a humanidade perde 500 horas olhando para os irritantes testes "prove que você não é um robô" todos os dias. E embora a substituição proposta pela empresa não seja exatamente perfeita, é um passo na direção certa que pode lançar as bases para futuros padrões de autenticação.
CAPTCHA é um “teste de Turing público completamente automatizado para diferenciar computadores e humanos". Como um segurança em uma boate, o CAPTCHA usa perguntas simples ou quebra-cabeças para evitar que robôs invadam sites. Mas CAPTCHA é uma merda. Os testes são lentos e confusos, nem sempre funcionam corretamente e nem sempre são acessíveis a pessoas com deficiência visual.
O Google está tentando ao máximo consertar o CAPTCHA, mas a Cloudflare quer eliminá-lo e substituí-lo por algo chamado “Atestado Criptográfico de Personalidade”, que é uma maneira elegante de dizer “um hardware que prova que você é humano”. Sem surpresa, a Cloudflare está se concentrando em chaves de segurança USB em seus primeiros testes para esse método de autenticação.
Se você possui uma chave de segurança YubiKey, HyperFIDO ou Thetis FIDO U2F, pode testar o novo e impressionante sistema de autenticação da Cloudflare agora. Basta conectar a chave de segurança USB ao seu computador, dar permissão ao site para ver sua chave, clicar na chave e então você estará pronto para as corridas (bem, você será redirecionado de volta ao blog da Cloudflare). Além de ser rápido, o sistema é acessível a pessoas com deficiência visual. Ele também protege a privacidade do usuário, pois a chave de segurança que garante sua humanidade não está vinculada exclusivamente ao seu nome ou dispositivo.
Não daria muito trabalho para a tecnologia suportar telefones celulares, que podem substituir as chaves de segurança graças ao Google. A Cloudflare também propõe um futuro em que os fabricantes criem hardware de “Atestado Criptográfico de Personalidade” diretamente nos dispositivos. Esses chips podem verificar se seu computador é real e único usando um código especial associado ao fabricante.
Mas esses métodos de autenticação são eficazes? O que impede um robô de usar (ou falsificar) uma chave de segurança USB ou qualquer outra ferramenta de “atestado”? Como aponta o CEO da Webatuhn Works, Ackermann Yuriy, as chaves FIDO não são apenas fáceis de falsificar, mas também funcionam incrivelmente rápido e são relativamente anônimas, então um bot farm conectado a um punhado de chaves pode facilmente invadir um site protegido com o sistema da Cloudflare.
As pessoas já estão planejando esquemas elaborados para superar a proposta de substituição do CAPTCHA da Cloudflare, um indicador de que “Atestado Criptográfico de Personalidade” não é o futuro, pelo menos não em seu estado atual. Mas o método de autenticação é incrivelmente conveniente, bastante privado e bastante fácil de implementar. Em suma, as comportas estão abertas, é hora do CAPTCHA morrer e a Cloudflare está dando o primeiro passo na direção certa.
Fonte: Cloudflare via The Verge