Cloudflare próbuje zabić CAPTCHA

Cloudflare testuje możliwość zastąpienia przez klucze bezpieczeństwa jednego z najbardziej irytujących aspektów przeglądania sieci: CAPTCHA.

Cloudflare próbuje zabić CAPTCHA

Cloudflare

CAPTCHA są wykorzystywane do wyłapywania botów, które przeszukują strony internetowe i są często wdrażane w celu zapobiegania nadużywania usług online. Te irytujące testy, które wymagają patrzenia na obrazy i wybierania obiektów, takich jak samochody, mosty lub rowery, zajmują dodatkowy czas i zakłócają naszą aktywność podczas przeglądania sieci. Jest również bardziej prawdopodobne, że zobaczysz je podczas korzystania z wirtualnej sieci prywatnej (VPN). Aby podkreślić ilość czasu straconego na te testy, Cloudflare przeprowadził obliczenia i podaje, że „500 ludzkich lat jest marnowanych każdego dnia - tylko po to, aby udowodnić swoje człowieczeństwo w Internecie”.

W czwartek inżynier badawczy Cloudflare, Thibault Meunier, powiedział w poście na blogu, że firma „rozpoczyna eksperyment, aby zakończyć to szaleństwo” i całkowicie pozbyć się CAPTCHA. Rozwiązaniem przedstawionym przez firmę jest używanie kluczy bezpieczeństwa jako sposobu na udowodnienie, że nie jesteśmy robotami. Według Meuniera, Cloudflare zacznie od zaufanych kluczy bezpieczeństwa - takich jak seria YubiKey, klucze HyperFIDO i Thetis FIDO U2F - wykorzysta te fizyczne urządzenia uwierzytelniające jako „kryptograficzne potwierdzenie osobowości”. Twierdzi, że test zajmuje nie więcej niż trzy kliknięcia i średnio pięć sekund - jest to potencjalnie ogromna poprawa w porównaniu ze średnią CAPTCHA wynoszącą 32 sekundy.

Cloudflare próbuje zabić CAPTCHA

Weryfikacja Cloudflare

Oto, jak to działa: użytkownik jest kwestionowany na stronie internetowej, klika przycisk w stylu „Jestem człowiekiem”, a następnie jest proszony o użycie urządzenia zabezpieczającego, aby potwierdzić tożsamość. Fizyczny klucz bezpieczeństwa jest następnie podłączany do komputera lub używa się aplikacji na urządzeniu mobilnym w celu dostarczenia elektronicznego podpisu - w tym drugim przypadku za pomocą bezprzewodowego NFC - a następnie do witryny internetowej wysyłane jest poświadczenie kryptograficzne.

Test osobowości opiera się na interfejsie Web Authentication (WebAuthn) Attestation API. Kompatybilne są wszystkie przeglądarki w systemie Ubuntu, macOS, Windows i iOS 14.5, a także Chrome na Androida w wersji 10 lub nowszej. Ponieważ wdrożenie jest nadal w fazie eksperymentalnej, Cloudflare twierdzi, że jest obecnie w trakcie integracji z istniejącymi wyzwaniami, ale prawdopodobnie z czasem dostaniemy pełniejszą wersję systemu.