Cloudflare afferma che è ora di porre fine alla “follia” CAPTCHA, lancia una nuova sostituzione basata su chiave di sicurezza

Cloudflare, che potresti conoscere come fornitore di servizi DNS o l’azienda che ti spiega perché il sito web su cui hai fatto clic non verrà caricato, vuole sostituire la “follia” dei CAPTCHA sul Web con un sistema completamente nuovo.

I CAPTCHA sono quei test che devi sostenere, spesso quando cerchi di accedere a un servizio, che ti chiedono di fare clic su immagini di cose come autobus o strisce pedonali o biciclette per dimostrare che sei un essere umano. (CAPTCHA, se non lo sapevi, sta per “Test di Turing pubblico completamente automatizzato per dire a computer e esseri umani a parte”.) Il problema è che aggiungono molto attrito all’uso del web e a volte possono essere difficili da risolvere – I Sono sicuro di non essere l’unica persona che ha fallito in modo frustrante un CAPTCHA perché non ho visto quell’angolo di un passaggio pedonale in un’immagine.

In un blog, Cloudflare afferma che mira a “sbarazzarsi completamente dei CAPTCHA“Sostituendoli con un nuovo modo per dimostrare che sei umano toccando o guardando un dispositivo utilizzando un sistema chiamato” Attestazione crittografica della personalità “. Al momento, supporta solo un numero limitato di chiavi di sicurezza USB come YubiKeys, ma puoi testare tu stesso il sistema di Cloudflare adesso sul sito web della società.

L’ho provato e ha funzionato benissimo. Tutto quello che dovevo fare era fare clic sul pulsante prominente “Sono umano (beta)” sul sito, quindi seguire alcune istruzioni per selezionare la mia chiave di sicurezza, quindi toccarla e consentire al sito di accedere alla marca e al modello del chiave. Quando l’ho fatto, il sistema mi ha fatto cenno di passare (anche se mi ha semplicemente riportato al blog).

L’intero processo ha richiesto pochi secondi e devo ammettere che è stato davvero bello non confondere le immagini sgranate di autobus e oggetti simili a autobus. E oltre alla velocità di tutto, questo nuovo metodo potrebbe avere un grande vantaggio in termini di accessibilità, poiché le persone con disabilità visive potrebbero non essere in grado di completare i CAPTCHA nella loro forma attuale.

Ecco “l’ascensore” dell’azienda di quello che sta succedendo dietro le quinte per stabilire che sei un essere umano attraverso il suo nuovo metodo:

La versione breve è che il tuo dispositivo ha un modulo protetto incorporato contenente un segreto univoco sigillato dal tuo produttore. Il modulo di protezione è in grado di dimostrare di possedere un tale segreto senza rivelarlo. Cloudflare ti chiede una prova e controlla che il tuo produttore sia legittimo.

Puoi leggere una spiegazione molto più ampia su il blog dell’azienda.

Sebbene sia tutta un’idea intrigante, potrebbe non essere la fine dei CAPTCHA come li conosciamo ancora. Per prima cosa, probabilmente non vedrai il prompt in molti posti, poiché Cloudflare afferma che al momento si tratta solo di un esperimento, disponibile “su base limitata nelle regioni di lingua inglese”. E nel suo stato attuale, funziona solo con un set limitato di hardware: YubiKeys, chiavi HyperFIDO e chiavi Thetis FIDO U2F.

Cloudflare promette che “esaminerà l’aggiunta di altri autenticatori il prima possibile”. Ciò potrebbe estendersi al tuo telefono: Cloudflare suggerisce la possibilità di toccare un telefono sul proprio computer per passare una firma wireless utilizzando NFC. Google ora può trattare sia gli iPhone che i telefoni Android come chiavi di sicurezza fisiche; Se Google e Apple fossero d’accordo con il metodo di Cloudflare, potrebbe ridurre significativamente la barriera all’accesso al suo utilizzo, poiché gli smartphone sono molto più comuni delle chiavi di sicurezza.

Tuttavia, il sistema di Cloudflare potrebbe effettivamente essere un file peggio soluzione, secondo un critico. Come Ackermann Yuriy (CEO della società di consulenza Webauthn Works) sottolinea, “L’attestazione non prova nient’altro che il modello del dispositivo”, il che significa che non prova effettivamente se qualcuno che utilizza un dispositivo per l’autenticazione è, in effetti, un essere umano.

Cloudflare lo ammette essenzialmente nel proprio blog, dicendo che un uccello che beve (quelli giocattoli per uccelli che immergono ripetutamente il becco nell’acqua) potrebbe premere un sensore tattile su una chiave di sicurezza, superando così il test di autenticazione. Se lo scopo dei CAPTCHA è impedire alle bot farm di sovraccaricare i siti Web, potrebbe essere necessario considerare se le bot farm dotate di dispositivi chiave di sicurezza truccati da giuria (o peggio) ne trarranno vantaggio.

Cloudflare non è sempre associato positivamente con CAPTCHA; in un esempio recente, la società è passata da reCAPTCHA di Google a un servizio di hCaptcha nell’aprile 2020e alcune persone non erano fan:

I CAPTCHA presumono anche che i proprietari di siti web vogliano consentire un traffico relativamente anonimo, ma l’identità anonima potrebbe essere irrilevante se un sito web ha la tua identità reale tramite le informazioni di accesso che hai fornito. E con la recente spinta contro il targeting degli annunci, guidata in gran parte dall’enorme nuova funzione di privacy di Apple in iOS 14.5 che chiede agli utenti se vogliono che ogni app li rintracci sul Web, è possibile che i provider di siti Web si sposteranno comunque di più verso gli accessi.

Anche se sembra certamente una seccatura da affrontare potenzialmente ancora di più accessi (che è molto più facile da fare con un ottimo gestore di password!), quel cambiamento potrebbe, controintuitivamente, avere il potenziale vantaggio di spingerci verso un futuro senza password ancora prima. Se più servizi spingono per accessi diretti, ciò potrebbe portare a più di loro che supportano le chiavi di sicurezza invece di una password. E più siti che supportano i token di sicurezza potrebbero esercitare pressioni sugli altri affinché li supportino, come la tendenza che vediamo verso l’autenticazione a due fattori con i telefoni.

Anche se non siamo ancora a quel futuro senza password, il potenziale sostituto di Cloudflare per il CAPTCHA potrebbe essere un primo passo in quella direzione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *