Cloudflare dice que es hora de terminar con la ‘locura’ de CAPTCHA, lanza una nueva alternativa basada en claves de seguridad
Como sabrás, CloudFlare, el proveedor de servicios DNS, o la empresa que te dice por qué el sitio web en el que haces clic no se carga, quiere cambiar la “locura” de los captchas en toda la web con un sistema completamente nuevo.
Al intentar registrarse en un servicio, las pruebas que debe realizar son captchas, que le piden que haga clic en imágenes de autobuses o atajos o bicicletas para demostrar que es un ser humano. (CAPTCHA, si no lo sabe, se refiere a un “experimento de gira pública totalmente automatizado, excepto para computadoras y humanos”. “Estoy seguro de que la persona no soy yo.
En una publicación de blog, CloudFlare “Eliminar CAPTCHA por completo“Tocar o mirar un dispositivo usando un sistema que cambia una nueva forma de demostrar que eres un ser humano se llama” certificación criptográfica de personalidad “. Por ahora, solo admite un número limitado Llaves de seguridad USB Similar a Ubiquitous, pero ahora puede probar el diseño de CloudFlare usted mismo En el sitio web de la empresa.
Lo probé y funcionó bien. Todo lo que tengo que hacer es hacer clic en el botón “Soy un hombre (beta)” de la clave del sitio, seguir algunas instrucciones para seleccionar mi clave de seguridad, tocarla y luego permitir que el sitio acceda al producto y modelo. Cuando lo hice, la computadora me sacudió (aunque me llevó de regreso al blog).
Todo el proceso tomó unos segundos, y debo admitir que fue genial no tener que preocuparse por las imágenes de grano de cosas como el autobús y el autobús. Además de la velocidad de todo, este nuevo sistema puede tener una gran ventaja de acceso porque las personas con discapacidad visual no pueden completar captchas en su formato actual.
Aquí está el “discurso de ascensor” de la compañía de lo que sucede detrás de escena para asegurarse de que eres un humano con su nuevo método:
La versión corta es que su dispositivo tiene un módulo seguro integrado que guarda un secreto privado que está cubierto por su fabricante. El módulo de seguridad es capaz de demostrar que pertenece sin revelar tal secreto. CloudFlare le solicita pruebas y verifica que su fabricante sea sistemático.
Puede leer una descripción más detallada aquí Blog de la empresa.
Si bien esta es una idea intrigante, puede que no sea el final de los captchas como todavía los conocemos. Por un lado, en muchos lugares no escuchará de inmediato, lo que Cloudflare dice que en este momento es solo una prueba, que está disponible “de manera limitada en las regiones de habla inglesa”. En su estado actual, solo funciona con un conjunto específico de hardware: las teclas Ubiquitous, Hyperphido y Thetis Fito U2F.
Cloudflare promete “explorar la posibilidad de agregar otras credenciales pronto”. Podría extenderse a su teléfono: Cloudflare sugiere la posibilidad de tocar el teléfono en su computadora para enviar una firma inalámbrica usando NFC. Google ahora puede tratar Ambos iPhones Y teléfonos Android Como claves de defensa del cuerpo; Si a Google y Apple se les ocurre el método CloudFlare, puede reducir significativamente la barrera para usarlo porque los teléfonos inteligentes son más comunes que las llaves de seguridad.
Sin embargo, la estructura de CloudFlare es realmente una Peor La solución, según un revisor. Ackerman Yuri (director ejecutivo de WebWorth Works Consulting) Señala, “No prueba nada más que el modelo del dispositivo de certificación”, es decir, no prueba realmente que la persona que usa un dispositivo para la autenticación sea en realidad un ser humano.
Cloudflare reconoce esto en su propio blog, que es un pájaro bebedor (que Los juguetes para pájaros sumergen repetidamente sus ganchos en agua) Presione el sensor táctil en la clave de seguridad, a través del cual puede enviar la prueba de autenticación. Si el objetivo de los captchas es evitar que se manipulen los sitios web de las granjas de bots, es posible que tengamos que considerar si las granjas de bots equipadas con dispositivos de clave de seguridad defectuosos (o defectuosos) se darán un buen uso.
CloudFlare No siempre relacionado positivamente Con CAPTCHA; En un ejemplo reciente, la empresa cambió de reCAPTCHA de Google a hCaptcha a un servicio En abril de 2020, Y algo No los fans:
Señor, si crees que es una molestia hacer clic en los cuadrados que muestran el semáforo, hay una brecha entre Google y Cloudflare, este último ahora tiene su propio captcha, que está diseñado para evitar que los humanos se molesten en usarlo. pic.twitter.com/odLTbZSAyZ
– Kate Bevan (en Gadevan) 16 de abril de 2020
Los CAPTCHA asumen que los propietarios de sitios web desean permitir un tráfico relativamente anónimo, pero la identificación anónima puede ser inapropiada si su identidad real es la de un sitio web basado en la información de inicio de sesión que proporciona. Con el reciente empuje contra el objetivo publicitario, está impulsado en gran medida por Apple Nueva función de privacidad en iOS 14.5 Pregunta a los usuarios si permitir que se rastree cada aplicación en la web, los proveedores web se moverán hacia los inicios de sesión de todos modos.
Esto ciertamente parece una molestia con el que lidiar Aún más Inicios de sesión (esto es muy fácil de hacer con una Mejor administrador de contraseñas!), Ese cambio, por el contrario, puede tener el beneficio potencial de empujarnos demasiado rápido hacia un futuro sin contraseñas. Si los servicios adicionales presionan para inicios de sesión directos, es posible que se admitan claves de seguridad en lugar de una contraseña. Los sitios adicionales que admiten claves de seguridad, como la tendencia hacia la autenticación de dos factores con teléfonos, pueden verse presionados para admitir otros.
Si bien es posible que aún no tengamos un futuro sin contraseña, una posible alternativa a CloudFlare para captcha podría ser el primer paso en esa dirección.
“Öğrenci. Müzik uzmanı. Hevesli problem çözücü. Zombi evangelisti. Yemek fanatiği.”