Cloudflare планирует отказаться от CAPTCHA, чтобы сэкономить 500 человеческих часов в день

Cloudflare Inc., американская компания по разработке веб-инфраструктуры и безопасности сайтов, хочет избавиться от CAPTCHA по всему интернету и заменить её совершенно новой системой.

Для тех, кто не в курсе, CAPTCHA (“Полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей”) — это тип теста на основе вопросов и ответов, используемый в компьютерной программе или системе для определения, является ли пользователь человеком.

Согласно данным Cloudflare, хотя CAPTCHA усиливает безопасность онлайн-сервисов, у них есть очень реальная стоимость.

Согласно данным компании, пользователю в среднем требуется 32 секунды, чтобы пройти тест CAPTCHA.

С 4,6 миллиарда пользователей интернета по всему миру, типичный интернет-пользователь видит примерно одну CAPTCHA каждые 10 дней, что составляет примерно 500 человеческих лет, потраченных каждый день.

Чтобы избежать этого, Cloudflare хочет избавиться от CAPTCHA с помощью своей новой системы безопасности под названием “Криптографическая аттестация личности”.

В недавнем посте в блоге Cloudflare объясняет, как работает Криптографическая аттестация личности, а именно:

2. Пользователь получает доступ к веб-сайту, защищенному Криптографической аттестацией личности, например, com.

3. Cloudflare предлагает задачу.

4. Пользователь нажимает “Я человек (бета)” и получает запрос на устройство безопасности.

5. Пользователь решает использовать аппаратный ключ безопасности.

6. Пользователь подключает устройство к своему компьютеру или прикладывает его к своему телефону для беспроводной подписи (с использованием NFC).

7. Криптографическая аттестация отправляется в Cloudflare, что позволяет пользователю войти после проверки теста на присутствие пользователя.

Когда Cloudflare протестировала этот процесс, им потребовалось всего пять секунд и три клика, чтобы его завершить. Более того, этот тест защищает конфиденциальность пользователей, поскольку аттестация не уникально связана с устройством пользователя.

В настоящее время все производители устройств, которым доверяет Cloudflare, являются частью Альянса FIDO. Устройства, которые поддерживаются в начальном запуске, включают YubiKeys, HyperFIDO ключи и Thetis FIDO U2F ключи.

Те, у кого есть совместимый ключ безопасности и кто хочет протестировать эту функцию, могут сделать это на этом веб-сайте.

“Продвижение открытых стандартов аутентификации, таких как WebAuthn, давно является частью миссии Yubico по обеспечению мощной безопасности с приятным пользовательским опытом,” сказал Кристофер Харрелл, технический директор Yubico.

“Предлагая альтернативу CAPTCHA с помощью одного касания, поддерживаемого аппаратным обеспечением YubiKey и криптографией с открытым ключом, эксперимент Cloudflare с Криптографической аттестацией личности может помочь еще больше снизить когнитивную нагрузку на пользователей, когда они взаимодействуют с сайтами под давлением или атакой.

“Я надеюсь, что этот эксперимент позволит людям достигать своих целей с минимальными препятствиями и высокой конфиденциальностью, и что результаты покажут, что это стоит рассмотреть другим сайтам для использования аппаратной безопасности не только для аутентификации.”

Криптографическая аттестация личности зависит от аттестации Web Authentication (WebAuthn). Этот API нацелен на предоставление стандартного интерфейса для аутентификации пользователей в интернете и использования криптографических возможностей их устройств.

Компания утверждает, что это работает во всех браузерах на iOS 14.5, Windows, macOS и Ubuntu. Однако для телефонов на Android 10 и более поздних версиях функция работает в Chrome.

Важно отметить, что поскольку Криптографическая аттестация личности является экспериментальным проектом команды исследований Cloudflare, в настоящее время она работает только с USB или NFC ключами безопасности.

Если вы хотите оставить отзыв о Криптографической аттестации личности, вы можете заполнить форму Google Cloudflare: https://forms.gle/HQxJtXgryg4oRL3e8.