Cloudflare testuje obecnie nową technologię tworzenia kluczy bezpieczeństwa, które firma zamierza zastąpić jednym z najbardziej irytujących aspektów przeglądania sieci: CAPTCHA. Te ostatnie służą do wykrywania botów indeksujących strony internetowe i często są wdrażane w celu zapobiegania niewłaściwemu korzystaniu z usług online.
Te testy, które wymagają oglądania zdjęć i identyfikowania obiektów, takich jak samochody, mosty czy rowery, marnują czas i przeszkadzają w nawigacji. Aby podkreślić czas stracony w wyniku tych testów, CLoudflare stwierdził, że „500 lat marnuje się każdego dnia, tylko po to, abyśmy udowodnili nasze człowieczeństwo”, na podstawie następujących obliczeń: średnio 32 sekundy na wykonanie testu CAPTCHA, przeprowadzanego co 10 dni, oraz 4,6 miliarda internautów na całym świecie. W czwartek inżynier Cloudflare, Thibault Meunier, powiedział w poście na blogu, że firma „uruchamia eksperyment, aby zakończyć to szaleństwo” i całkowicie pozbyć się CAPTCHA.
Sposób na osiągnięcie tego? Użyj kluczy bezpieczeństwa, aby udowodnić, że człowiek uzyskuje dostęp do określonej witryny
Według Meuniera, Cloudflare zacznie używać zaufanych kluczy bezpieczeństwa – takich jak seria YubiKey, klucze HyperFIDO i klucze Thetis FIDO U2F – i będzie używać tych fizycznych urządzeń uwierzytelniających jako „kryptograficzne poświadczenie tożsamości człowieka”.
Cloudflare, tak działa alternatywa dla CAPTCHA
Cloudflare wyjaśnia, jak działają klucze bezpieczeństwa: użytkownik odwiedzający stronę internetową jest proszony o kliknięcie przycisku podobnego „Jestem człowiekiem” a następnie jest proszony o użycie urządzenia zabezpieczającego w celu udowodnienia swojej tożsamości. Sprzętowy klucz bezpieczeństwa jest następnie wkładany do komputera lub aktywowany na urządzeniu mobilnym w celu złożenia podpisu — z wykorzystaniem technologii bezprzewodowej NFC w tym drugim przypadku – a następnie do strony internetowej wysyłane jest zaświadczenie kryptograficzne.
Według Cloudflare’a, badanie wymaga nie więcej niż trzech kliknięć i średnio pięciu sekund, co może być dużą poprawą w stosunku do 32-sekundowej średniej CAPTCHA.
Test osobowości opiera się na Web Authentication Attestation API (WebAuthn). Wszystkie przeglądarki na Ubuntu, macOS, Windows i iOS 14.5, a także Chrome na Androidzie v.10 i nowszych są kompatybilne. Na stronie cloudflarechallenge.com można już przetestować alternatywę dla CAPTCHA.
„Co ważniejsze, ten test chroni prywatność użytkownika, ponieważ zaświadczenie nie jest jednoznacznie powiązane z urządzeniem użytkownika” zauważa Cloudflare. „Wszyscy producenci urządzeń, którym Cloudflare ufa, są częścią FIDO Alliance. Dlatego każdy klucz sprzętowy dzieli swój identyfikator z innymi kluczami sprzętowymi wykonanymi w tej samej partii”. Z punktu widzenia Cloudflare twój klucz wygląda jak wszystkie inne klucze w pakiecie”.
