Популярний постачальник послуг CDN і DNS Cloudflare хоче покінчити з CAPTCHA, стверджуючи, що людство витрачає 500 годин, дивлячись на дратівливі тести «доведіть, що ви не робот» щодня. І хоча запропонована компанія заміна не зовсім ідеальна, це крок у правильному напрямку, який може закласти основу для майбутніх стандартів аутентифікації.
CAPTCHA — це «повністю автоматизований публічний тест Тьюринга, щоб відрізнити комп’ютери від людей». Як вишибала в нічному клубі, CAPTCHA використовує прості запитання або головоломки, щоб не дати роботам захопити веб-сайти. Але CAPTCHA відстой. Тести повільні та заплутані, вони не завжди працюють правильно, і вони не завжди доступні для людей із вадами зору.
Google докладає всіх зусиль, щоб виправити CAPTCHA, але Cloudflare хоче знищити її і замінити чимось, що називається «Криптографічна атестація особистості», що є химерним способом сказати «частина обладнання, яка доводить, що ви людина». Не дивно, що Cloudflare зосереджується на ключах безпеки USB у своїх ранніх тестах цього методу аутентифікації.
Якщо у вас є ключ безпеки YubiKey, HyperFIDO або Thetis FIDO U2F, ви можете зараз протестувати вражаючу нову систему аутентифікації Cloudflare. Просто підключіть USB-ключ безпеки до свого комп’ютера, дайте веб-сайту дозвіл на перегляд вашого ключа, клацніть ключ, а потім вирушайте до перегонів (так, ви перенаправлені назад до блогу Cloudflare). Система не тільки швидка, але й доступна для людей із вадами зору. Це також захищає конфіденційність користувачів, оскільки ключ безпеки, який гарантує вашу людяність, не прив’язаний однозначно до вашого імені чи пристрою.
Щоб технологія підтримувала мобільні телефони, які завдяки Google можуть замінити ключі безпеки, не знадобиться багато роботи. Cloudflare також пропонує майбутнє, коли виробники вбудують обладнання «Криптографічна атестація особистості» безпосередньо в пристрої. Ці чіпи можуть підтвердити, що ваш комп’ютер справжній та унікальний, за допомогою спеціального коду, пов’язаного з виробником.
Але чи ефективні ці методи аутентифікації? Що заважає роботів використовувати (або підробляти) USB-ключ безпеки чи будь-які інші інструменти «атестації»? Як зазначає генеральний директор Webatuhn Works Аккерманн Юрій, ключі FIDO не тільки легко підробити, але вони також працюють неймовірно швидко і є відносно анонімними, тому ферма ботів, підключена до кількох ключів, може легко завантажити веб-сайт, захищений системою Cloudflare.
Люди вже планують продумані схеми, щоб подолати запропоновану Cloudflare заміну CAPTCHA, індикатор того, що «Криптографічна атестація особистості» не є майбутнім, принаймні, не в його нинішньому стані. Але метод аутентифікації неймовірно зручний, досить приватний і досить простий у реалізації. Коротше кажучи, шлюзи відкриті, настав час для CAPTCHA вмирати, і Cloudflare робить перший крок у правильному напрямку.
Джерело: Cloudflare через The Verge