Cloudflares nya CAPTCHA-ersättning kräver mer arbete
Den populära CDN- och DNS-tjänsteleverantören Cloudflare vill sätta stopp för CAPTCHAs och hävdar att mänskligheten slösar bort 500 timmar på att stirra på de irriterande "bevisa att du inte är en robot"-test varje dag. Och även om företagets föreslagna ersättare inte är precis perfekt, det är ett steg i rätt riktning som kan lägga grunden för framtida autentiseringsstandarder.
CAPTCHA är ett "Helt automatiserat offentligt Turing-test för att skilja datorer och människor åt." Som en studsare på en nattklubb använder CAPTCHA enkla frågor eller pussel för att förhindra robotar från att köra över webbplatser. Men CAPTCHA suger. Testerna är långsamma och förvirrande, de fungerar inte alltid korrekt och de är inte alltid tillgängliga för de som är synskadade.
Google gör sitt bästa för att fixa CAPTCHA, men Cloudflare vill döda det och ersätta det med något som kallas "Cryptographic Attestation of Personhood", vilket är ett fint sätt att säga "en bit hårdvara som bevisar att du är en människa." Inte överraskande fokuserar Cloudflare på USB-säkerhetsnycklar i sina tidiga tester för denna autentiseringsmetod.
Om du äger en YubiKey, HyperFIDO-nyckel eller Thetis FIDO U2F-säkerhetsnyckel, kan du testa Cloudflares imponerande nya autentiseringssystem nu. Anslut bara USB-säkerhetsnyckeln till din dator, ge webbplatsen tillåtelse att se din nyckel, klicka på nyckeln och sedan är du iväg till tävlingarna (ja, du omdirigeras tillbaka till Cloudflares blogg). Systemet är inte bara snabbt, utan det är också tillgängligt för personer som är synskadade. Det skyddar också användarnas integritet, eftersom säkerhetsnyckeln som garanterar din mänsklighet inte är unikt knuten till ditt namn eller din enhet.
Det skulle inte krävas mycket arbete för tekniken att stödja mobiltelefoner, som kan stå in för säkerhetsnycklar tack vare Google. Cloudflare föreslår också en framtid där tillverkare bygger "Cryptographic Attestation of Personhood" hårdvara direkt i enheter. Dessa marker kan verifiera att din dator är verklig och unik med hjälp av en speciell kod associerad med tillverkaren.
Men är dessa autentiseringsmetoder effektiva? Vad hindrar en robot från att använda (eller spoofa) en USB-säkerhetsnyckel eller andra "attestations"-verktyg? Som Webatuhn Works VD Ackermann Yuriy påpekar är FIDO-nycklar inte bara lätta att förfalska, utan de fungerar också otroligt snabbt och är relativt anonyma, så en botfarm som kopplas upp till en handfull nycklar kan lätt överskrida en webbplats skyddad med Cloudflares system.
Människor planerar redan utarbetade system för att bryta förbi Cloudflares föreslagna CAPTCHA-ersättning, en indikator på att "Cryptographic Attestation of Personhood" inte är framtiden, åtminstone inte i sin nuvarande tillstånd. Men autentiseringsmetoden är otroligt bekväm, ganska privat och ganska enkel att implementera. Kort sagt, dammluckorna är öppna, det är dags för CAPTCHA att dö och Cloudflare tar första steget i rätt riktning.
Källa: Cloudflare via The Verge