Cloudflare Prevede di Eliminare i CAPTCHA per Risparmiare 500 Ore Umani al Giorno

Cloudflare Inc., un’azienda statunitense di infrastrutture web e sicurezza dei siti web, vuole eliminare i CAPTCHA su Internet e sostituirli con un sistema completamente nuovo.

Per chi non lo sapesse, CAPTCHA (“Completely Automated Public Turing test to tell Computers and Humans Apart”) è un tipo di test di sfida-risposta utilizzato in un programma o sistema informatico per determinare se l’utente è umano o meno.

Secondo Cloudflare, sebbene i CAPTCHA rafforzino la sicurezza dei servizi online, hanno un costo molto reale associato ad essi.

Basandosi sui dati dell’azienda, ci vuole in media 32 secondi a un utente per completare una sfida CAPTCHA.

Con 4,6 miliardi di utenti di Internet a livello globale, un utente tipico di Internet vede circa un CAPTCHA ogni 10 giorni, il che equivale a circa 500 anni umani sprecati ogni singolo giorno.

Per evitare ciò, Cloudflare vuole sbarazzarsi dei CAPTCHA con il suo nuovo sistema di sicurezza chiamato “Attestazione Criptografica della Personalità”.

In un recente post sul blog, Cloudflare spiega come funziona l’Attestazione Criptografica della Personalità, che è la seguente:

2. L’utente accede a un sito web protetto dall’Attestazione Criptografica della Personalità, come com.

3. Cloudflare presenta una sfida.

4. L’utente clicca su Sono umano (beta) e viene invitato a utilizzare un dispositivo di sicurezza.

5. L’utente decide di utilizzare una Chiave di Sicurezza Hardware.

6. L’utente collega il dispositivo al computer o lo tocca con il telefono per una firma wireless (utilizzando NFC).

7. Un’attestazione criptografica viene inviata a Cloudflare, che consente l’accesso all’utente dopo la verifica del test di presenza dell’utente.

Quando Cloudflare ha testato questo flusso, ci sono voluti solo cinque secondi e tre clic per completarlo. Ancora più importante, questa sfida protegge la privacy degli utenti poiché l’attestazione non è unicamente collegata al dispositivo dell’utente.

Attualmente, tutti i produttori di dispositivi di cui si fida Cloudflare fanno parte dell’FIDO Alliance. I dispositivi supportati nel lancio iniziale includono YubiKeys, chiavi HyperFIDO e chiavi Thetis FIDO U2F.

Coloro che possiedono una chiave di sicurezza compatibile e desiderano testare la funzionalità possono farlo da questo sito web.

“Promuovere standard di autenticazione aperti come WebAuthn è da tempo al centro della missione di Yubico per fornire una sicurezza potente con un’esperienza utente piacevole,” ha dichiarato Christopher Harrell, Chief Technology Officer di Yubico.

“Offrendo un’alternativa ai CAPTCHA tramite un singolo tocco supportato dall’hardware YubiKey e dalla crittografia a chiave pubblica, l’esperimento di Cloudflare sull’Attestazione Criptografica della Personalità potrebbe contribuire a ridurre ulteriormente il carico cognitivo posto sugli utenti mentre interagiscono con siti sotto stress o attacco.

Mi auguro che questo esperimento consenta alle persone di raggiungere i propri obiettivi con il minimo attrito e una forte privacy, e che i risultati dimostrino che vale la pena per altri siti considerare l’uso della sicurezza hardware per più di una semplice autenticazione.”

L’Attestazione Criptografica della Personalità dipende dall’Attestazione di Web Authentication (WebAuthn). Questa API mira a fornire un’interfaccia standard per autenticare gli utenti su Internet e utilizzare la capacità crittografica dei loro dispositivi.

L’azienda afferma che funziona su tutti i browser su iOS 14.5, Windows, macOS e Ubuntu. Tuttavia, per i telefoni che eseguono Android 10 e versioni successive, la funzionalità funziona su Chrome.

È importante notare che poiché l’Attestazione Criptografica della Personalità è un progetto sperimentale del Cloudflare Research Team, attualmente funziona solo su chiavi di sicurezza USB o NFC.

Se desideri fornire feedback sull’Attestazione Criptografica della Personalità, puoi compilare il modulo Google di Cloudflare: https://forms.gle/HQxJtXgryg4oRL3e8.