Новая замена CAPTCHA от Cloudflare требует дополнительной работы
Популярный поставщик услуг CDN и DNS Cloudflare хочет положить конец CAPTCHA, утверждая, что человечество тратит 500 часов впустую, глядя на надоедливые тесты «докажи, что ты не робот» каждый день. И хотя предложенная компанией замена не совсем идеальна, это шаг в правильном направлении, который может заложить основу для будущих стандартов аутентификации.
CAPTCHA — это «полностью автоматизированный общедоступный тест Тьюринга, позволяющий отличить компьютеры от людей». Подобно вышибале в ночном клубе, CAPTCHA использует простые вопросы или головоломки, чтобы предотвратить захват веб-сайтов роботами. Но CAPTCHA отстой. Тесты медленные и запутанные, не всегда работают корректно и не всегда доступны для слабовидящих.
Google изо всех сил пытается исправить CAPTCHA, но Cloudflare хочет убрать ее и заменить чем-то под названием «Криптографическая аттестация личности», что является причудливым способом сказать «часть оборудования, которая доказывает, что вы человек». Неудивительно, что Cloudflare фокусируется на ключах безопасности USB в своих ранних тестах этого метода аутентификации.
Если у вас есть ключ безопасности YubiKey, HyperFIDO или ключ безопасности Thetis FIDO U2F, вы можете протестировать впечатляющую новую систему аутентификации Cloudflare прямо сейчас. Просто подключите USB-ключ безопасности к компьютеру, дайте веб-сайту разрешение на просмотр вашего ключа, нажмите на него, а затем приступайте к гонкам (вы будете перенаправлены обратно в блог Cloudflare). Система не только быстра, но и доступна для людей с нарушениями зрения. Он также защищает конфиденциальность пользователей, поскольку ключ безопасности, подтверждающий вашу человечность, не привязан однозначно к вашему имени или устройству.
Чтобы технология поддерживала мобильные телефоны, которые благодаря Google могут заменить ключи безопасности, не потребуется много усилий. Cloudflare также предлагает будущее, в котором производители встраивают оборудование «Криптографическая аттестация личности» непосредственно в устройства. Эти чипы могут подтвердить подлинность и уникальность вашего компьютера с помощью специального кода, связанного с производителем.
Но эффективны ли эти методы аутентификации? Что мешает роботу использовать (или подделать) USB-ключ безопасности или любые другие инструменты «аттестации»? Как отмечает генеральный директор Webatuhn Works Юрий Акерманн , ключи FIDO не только легко подделать, но они также работают невероятно быстро и относительно анонимны, поэтому ферма ботов, подключенная к нескольким ключам, может легко перекрыть веб-сайт, защищенный системой Cloudflare.
Люди уже разрабатывают сложные схемы, чтобы обойти предложенную Cloudflare замену CAPTCHA, что свидетельствует о том, что «Криптографическая аттестация личности» — это не будущее, по крайней мере, не в ее нынешнем состоянии. Но метод аутентификации невероятно удобен, довольно приватен и довольно прост в реализации. Короче говоря, шлюзы открыты, пришло время CAPTCHA умереть, и Cloudflare делает первый шаг в правильном направлении.
Источник: Cloudflare через The Verge