Cloudflare предлагает использовать аппаратный ключ безопасности вместо CAPTCHA
Компания Cloudflare хочет заменить «безумие» CAPTCHA в интернете совершенно новой системой проверки.
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) – это тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером. Как правило, для его прохождения требуется отметить определённые предметы на нескольких изображениях. Иногда такие проверки доставляют неудобство пользователям.
В своём блоге Cloudflare заявляет, что стремится «полностью избавиться от CAPTCHA», заменив эти тесты новым способом проверки. Вместо CAPTCHA предлагается использовать систему под названием Cryptographic Attestation of Personhood. На текущий момент она поддерживает только ограниченное количество USB-ключей безопасности, таких как YubiKeys. Тем не менее, уже сейчас можно протестировать систему Cloudflare прямо сейчас на сайте компании.
Для этого нужно кликнуть по блоку с надписью «I am human (beta)», а затем следовать выводимым инструкциям и вставить в USB-порт соответствующий ключ безопасности и разрешить доступ к нему. Весь процесс проверки занимает несколько секунд и не требует выискивания предметов на небольших изображениях, как в случае с CAPTCHA.
Cloudflare говорит, что сейчас это всего лишь эксперимент, доступный «в ограниченном количестве в англоязычных регионов». И в текущем состоянии он работает только с ограниченным набором аппаратных устройств: YubiKeys, HyperFIDO и Thetis FIDO U2F. Cloudflare заявляет, что «как можно скорее рассмотрит возможность добавления других аутентификаторов». В том числе речь может идти и о смартфонах. В частности, Google может рассматривать и iPhone и Android-смартфоны как физические ключи безопасности. Если бы Google и Apple присоединились к методу проверки Cloudflare, это могло бы значительно снизить барьер для его использования, поскольку смартфоны встречаются гораздо чаще, чем физические ключи безопасности.
Но у подхода Cloudflare есть и критики. В частности, генеральный директор консалтинговой фирмы Webauthn Works Акерманн Юрий считает, что «аттестация не доказывает ничего, кроме модели устройства». То есть она фактически не доказывает, что именно человек использует устройство для прохождения проверки. Хотя это признаёт и сама Cloudflare.