Cloudflare казва, че е време да сложим край на „лудостта“ на CAPTCHA, стартира нова подмяна, базирана на ключ за сигурност

Работи чудесно, но не очаквайте CAPTCHA да изчезнат още

Снимка на Амелия Холовати Кралес / The Verge

Cloudflare, който може да познавате като доставчик на DNS услуги или компанията, която ви казва защо уебсайтът, върху който сте кликнали, няма да се зареди, иска да замени лудостта на CAPTCHA в мрежата с изцяло нова система.



CAPTCHA са тези тестове, които трябва да вземете, често, когато се опитвате да влезете в услуга, които ви карат да щракнете върху изображения на неща като автобуси, пешеходни пътеки или велосипеди, за да докажете, че сте човек. (CAPTCHA, ако не сте знаели, означава „Напълно автоматизиран публичен тест на Тюринг“, за да кажете на Computers and Humans Apart.) Проблемът е, че те добавят много триене към използването на мрежата и понякога могат да бъдат трудни за решаване - аз съм сигурен съм, че не съм единственият човек, който разочароващо се провали на CAPTCHA, защото не видях този ъгъл на пешеходна пътека в едно изображение.

влезте в Google
Криптографско удостоверяване на личността

В блог Cloudflare казва, че има за целнапълно се отървете от CAPTCHAкато ги замените с нов начин да докажете, че сте човек, като докоснете или погледнете устройство, използвайки система, която тя нарича Криптографско удостоверяване на личността. В момента той поддържа само ограничен брой USB ключове за сигурност като YubiKeys, но можете да тествате системата на Cloudflare за себе си точно сегана уебсайта на компанията.

Изпробвах го и се получи чудесно. Всичко, което трябваше да направя, беше да щракна върху изпъкналия бутон Аз съм човек (бета) на сайта, след това да следвам няколко подкани, за да избера ключа си за сигурност, след това да го докосна и след това да разреша на сайта достъп до марката и модела на ключа. Когато го направих, системата ми махна с ръка (макар че просто ме върна в блога).



Целият процес отне няколко секунди и трябва да призная, че беше наистина хубаво да не озадачавате зърнести изображения на автобуси и обекти, изглеждащи на автобус. И в допълнение към бързината на всичко това, този нов метод може да има голяма полза за достъпността, тъй като тези със зрителни увреждания може да не успеят да попълнят CAPTCHA в сегашната си форма.

Ето стъпката на асансьора на компанията за случващото се зад кулисите, за да се установи, че сте човек чрез новия му метод:

живота ми

Кратката версия е, че вашето устройство има вграден защитен модул, съдържащ уникална тайна, запечатана от вашия производител. Модулът за сигурност може да докаже, че притежава такава тайна, без да я разкрива. Cloudflare ви иска доказателство и проверява дали вашият производител е легитимен.



Можете да прочетете много по-обширно обяснение наблога на компанията.

Въпреки че всичко е интригуваща идея, може да не е краят на CAPTCHAs, каквито все още го знаем. Първо, вероятно няма да видите подкана на много места, тъй като Cloudflare казва, че в момента това е само експеримент, достъпен ограничено в англоговорящите региони. И в сегашното си състояние той работи само с ограничен набор от хардуер: YubiKeys, HyperFIDO ключове и Thetis FIDO U2F ключове.

Cloudflare обещава, че ще разгледа възможността за добавяне на други удостоверители възможно най-скоро. Това може да се разшири до вашия телефон: Cloudflare предлага възможността за докосване на телефон към техния компютър, за да предаде безжичен подпис с помощта на NFC. Google вече може да лекуваи двата iPhone и телефони с Androidкато ключове за физическа сигурност; Ако Google и Apple се качат с метода на Cloudflare, това може значително да намали бариерата пред влизането му, тъй като смартфоните са много по-често срещани от ключовете за сигурност.

Системата на Cloudflare всъщност може да е по-лошо решение

Системата на Cloudflare обаче всъщност може да бъдепо-лошорешение, според един критик. Като Акерман Юрий (главен изпълнителен директор на консултантската фирма Webauthn Works)посочва, атестацията не доказва нищо, освен модела на устройството, което означава, че всъщност не доказва дали някой, който използва устройство за удостоверяване, всъщност е човек.

Cloudflare по същество признава това в собствения си блог, като казва, че пиещата птица (тезиптичи играчки, които потапят човките си във вода многократно) може да натисне сензор за докосване на ключ за сигурност, като по този начин преминава тест за удостоверяване. Ако целта на CAPTCHA е да предотврати надхвърлянето на уебсайтове на бот ферми, може да се наложи да обмислим дали бот фермите, оборудвани с монтирани от жури устройства за сигурност (или по-лошо), ще се възползват.

Cloudflareне винаги е свързано положителнос CAPTCHA; в скорошен пример компанията премина от reCAPTCHA на Google към услуга от hCaptchaпрез април 2020ги някои хоране бяха фенове:

CAPTCHA също така предполагат, че собствениците на уебсайтове искат да разрешат относително анонимен трафик, но анонимната идентичност може да е без значение, ако уебсайтът има вашата действителна самоличност чрез предоставената от вас информация за вход. И с неотдавнашния натиск срещу насочването на реклами, задвижван до голяма степен от огромната нова функция на Apple за поверителност в iOS 14.5, която пита потребителите дали искат да позволят на всяко приложение да ги проследява в мрежата, възможно е доставчиците на уебсайтове да се придвижат все повече към влизанията.

Въпреки че със сигурност звучи като караница, с която трябва да се справитедори повечевлизания (което е много по-лесно да се направи сстрахотен мениджър на пароли!), тази промяна би могла, противоположно, да има потенциалната полза да ни тласне към бъдеще без пароли още по-рано. Ако повече услуги настояват за директни влизания, това може да доведе до това, че повече от тях поддържат ключове за сигурност вместо парола. И повече сайтове, поддържащи ключове за сигурност, биха могли да окажат натиск върху другите да ги подкрепят, като тенденцията, която наблюдаваме към двуфакторно удостоверяване с телефони.

Въпреки че все още не сме в това бъдеще без пароли, потенциалната замяна на Cloudflare за CAPTCHA може да бъде първата стъпка в тази посока.