Cloudflare plant, CAPTCHAs abzuschaffen, um 500 menschliche Stunden pro Tag zu sparen

Cloudflare Inc., ein in den USA ansässiges Unternehmen für Webinfrastruktur und Website-Sicherheit, möchte CAPTCHAs im gesamten Internet abschaffen und durch ein völlig neues System ersetzen.

Für diejenigen, die es nicht wissen, CAPTCHA (“Completely Automated Public Turing test to tell Computers and Humans Apart”) ist eine Art von Challenge-Response-Test, der in einem Computerprogramm oder System verwendet wird, um festzustellen, ob der Benutzer ein Mensch ist oder nicht.

Laut Cloudflare haben CAPTCHAs zwar die Sicherheit von Online-Diensten gestärkt, sie haben jedoch auch echte Kosten, die damit verbunden sind.

Basierend auf den Daten des Unternehmens benötigt ein Benutzer im Durchschnitt 32 Sekunden, um eine CAPTCHA-Herausforderung abzuschließen.

Mit 4,6 Milliarden globalen Internetnutzern sieht ein typischer Internetnutzer ungefähr alle 10 Tage ein CAPTCHA, was ungefähr 500 menschlichen Jahren entspricht, die jeden einzelnen Tag verschwendet werden.

Um dies zu vermeiden, möchte Cloudflare CAPTCHAs mit seinem neuen Sicherheitssystem namens “Cryptographic Attestation of Personhood” abschaffen.

In einem aktuellen Blogbeitrag erklärt Cloudflare, wie die Cryptographic Attestation of Personhood funktioniert, und zwar wie folgt:

2. Der Benutzer greift auf eine Website zu, die durch die Cryptographic Attestation of Personhood geschützt ist, wie z. B. com.

3. Cloudflare stellt eine Herausforderung.

4. Der Benutzer klickt auf Ich bin ein Mensch (Beta) und wird nach einem Sicherheitsgerät gefragt.

5. Der Benutzer entscheidet sich, einen Hardware-Sicherheitsschlüssel zu verwenden.

6. Der Benutzer steckt das Gerät in seinen Computer oder tippt es auf sein Telefon für eine drahtlose Signatur (unter Verwendung von NFC).

7. Eine kryptografische Bestätigung wird an Cloudflare gesendet, die den Benutzer nach Überprüfung des Benutzernachweis-Tests hereinlässt.

Als Cloudflare diesen Ablauf testete, benötigten sie nur fünf Sekunden und drei Klicks, um ihn abzuschließen. Noch wichtiger ist, dass diese Herausforderung die Privatsphäre der Benutzer schützt, da die Bestätigung nicht eindeutig mit dem Benutzergerät verknüpft ist.

Derzeit sind alle von Cloudflare vertrauenswürdigen Gerätehersteller Teil der FIDO Alliance. Die Geräte, die in der ersten Einführung unterstützt werden, umfassen YubiKeys, HyperFIDO-Schlüssel und Thetis FIDO U2F-Schlüssel.

Diejenigen, die einen kompatiblen Sicherheitsschlüssel haben und die Funktion testen möchten, können dies über diese Website tun.

„Die Förderung offener Authentifizierungsstandards wie WebAuthn steht seit langem im Mittelpunkt der Mission von Yubico, leistungsstarke Sicherheit mit einer angenehmen Benutzererfahrung zu bieten“, sagte Christopher Harrell, Chief Technology Officer bei Yubico.

„Durch das Angebot einer CAPTCHA-Alternative über einen einzigen Touch, unterstützt durch YubiKey-Hardware und öffentliche Schlüssel-Kryptographie, könnte das Experiment zur Cryptographic Attestation of Personhood von Cloudflare dazu beitragen, die kognitive Belastung der Benutzer zu verringern, während sie mit unter Druck stehenden oder angegriffenen Websites interagieren.

Ich hoffe, dass dieses Experiment den Menschen ermöglicht, ihre Ziele mit minimalem Aufwand und starker Privatsphäre zu erreichen, und dass die Ergebnisse zeigen, dass es sich lohnt, dass andere Websites in Betracht ziehen, Hardware-Sicherheit für mehr als nur Authentifizierung zu verwenden.”

Die Cryptographic Attestation of Personhood hängt von der Web Authentication (WebAuthn) Attestation ab. Diese API zielt darauf ab, eine standardisierte Schnittstelle zur Authentifizierung von Benutzern im Web bereitzustellen und die Kryptografie-Fähigkeiten ihrer Geräte zu nutzen.

Das Unternehmen sagt, dass es in allen Browsern auf iOS 14.5, Windows, macOS und Ubuntu funktioniert. Für Telefone mit Android 10 und höher funktioniert die Funktion jedoch nur in Chrome.

Es ist wichtig zu beachten, dass die Cryptographic Attestation of Personhood ein experimentelles Projekt des Cloudflare Research Teams ist und derzeit nur mit USB- oder NFC-Sicherheitsschlüsseln funktioniert.

Wenn Sie Feedback zur Cryptographic Attestation of Personhood geben möchten, können Sie das Google-Formular von Cloudflare ausfüllen: https://forms.gle/HQxJtXgryg4oRL3e8.