Cloudflare Planea Eliminar CAPTCHAs Para Ahorrar 500 Horas Humanas Por Día

Cloudflare Inc., una empresa estadounidense de infraestructura web y seguridad de sitios web, quiere eliminar los CAPTCHAs en la web y reemplazarlos con un sistema completamente nuevo.

Para aquellos que no lo saben, CAPTCHA (“Prueba de Turing Pública Completamente Automatizada para distinguir Computadoras de Humanos”) es un tipo de prueba de desafío-respuesta utilizada en un programa o sistema informático para determinar si el usuario es humano o no.

Según Cloudflare, aunque los CAPTCHAs refuerzan la seguridad de los servicios en línea, tienen un costo muy real asociado a ellos.

Basado en los datos de la empresa, a un usuario le toma en promedio 32 segundos completar un desafío CAPTCHA.

Con 4.6 mil millones de usuarios de Internet en todo el mundo, un usuario típico de Internet ve aproximadamente un CAPTCHA cada 10 días, lo que equivale a aproximadamente 500 años humanos desperdiciados cada día.

Para evitar esto, Cloudflare quiere deshacerse de los CAPTCHAs con su nuevo sistema de seguridad llamado “Atestación Criptográfica de Personalidad”.

En una publicación reciente en su blog, Cloudflare explica cómo funciona la Atestación Criptográfica de Personalidad, que es la siguiente:

2. El usuario accede a un sitio web protegido por Atestación Criptográfica de Personalidad, como com.

3. Cloudflare presenta un desafío.

4. El usuario hace clic en Soy humano (beta) y se le solicita un dispositivo de seguridad.

5. El usuario decide usar una Clave de Seguridad Hardware.

6. El usuario conecta el dispositivo a su computadora o lo toca con su teléfono para una firma inalámbrica (usando NFC).

7. Se envía una atestación criptográfica a Cloudflare, que permite al usuario ingresar tras la verificación de la prueba de presencia del usuario.

Cuando Cloudflare probó este flujo, les tomó solo cinco segundos y tres clics completarlo. Más importante aún, este desafío protege la privacidad de los usuarios ya que la atestación no está vinculada de manera única al dispositivo del usuario.

Actualmente, todos los fabricantes de dispositivos de confianza para Cloudflare son parte de la Alianza FIDO. Los dispositivos que son compatibles en el lanzamiento inicial incluyen YubiKeys, claves HyperFIDO y claves Thetis FIDO U2F.

Aquellos que tengan una clave de seguridad compatible y deseen probar la función pueden hacerlo desde este sitio web.

“Impulsar estándares de autenticación abierta como WebAuthn ha sido durante mucho tiempo el corazón de la misión de Yubico para ofrecer una seguridad poderosa con una experiencia de usuario agradable,” dijo Christopher Harrell, Director de Tecnología en Yubico.

“Al ofrecer una alternativa a CAPTCHA a través de un solo toque respaldado por hardware YubiKey y criptografía de clave pública, el experimento de Atestación Criptográfica de Personalidad de Cloudflare podría ayudar a reducir aún más la carga cognitiva que se impone a los usuarios mientras interactúan con sitios bajo presión o ataque.

Espero que este experimento permita a las personas lograr sus objetivos con una fricción mínima y una fuerte privacidad, y que los resultados demuestren que vale la pena que otros sitios consideren usar seguridad de hardware para más que solo autenticación.”

La Atestación Criptográfica de Personalidad depende de la Atestación de Autenticación Web (WebAuthn). Esta API tiene como objetivo proporcionar una interfaz estándar para autenticar usuarios en la web y utilizar la capacidad criptográfica de sus dispositivos.

La empresa dice que funciona en todos los navegadores en iOS 14.5, Windows, macOS y Ubuntu. Sin embargo, para teléfonos que ejecutan Android 10 y versiones posteriores, la función funciona en Chrome.

Es importante tener en cuenta que, dado que la Atestación Criptográfica de Personalidad es un proyecto experimental del Equipo de Investigación de Cloudflare, actualmente solo funciona con claves de seguridad USB o NFC.

Si desea dar su opinión sobre la Atestación Criptográfica de Personalidad, puede completar el Formulario de Google de Cloudflare: https://forms.gle/HQxJtXgryg4oRL3e8.