| +22 голоса |
|
Задача «полностью автоматизированных общедоступных тестов Тьюринга» CAPTCHA (Completely Automated Public Turing Challenges to tell Computers and Humans Apart) состоит в том, чтобы повысить безопасность онлайн-сервисов, но для большинства из нас эта достойная цель нивелируется раздражающей процедурой поиска изображений пожарных гидрантов и пешеходных переходов.
Недавнее исследование, компании Cloudflare, занимающейся веб-инфраструктурой и безопасностью, показало, что 4,6 миллиарда пользователей Интернета по всему миру в совокупности тратят 500 человеческих лет каждый день и портят зрение в не всегда успешных попытках доказать, что не являются спам-ботами.
В своём недавнем блоге Cloudflare призвала «полностью избавиться от CAPTCHA», предложив взамен совершенно новую систему под названием «Криптографическая аттестация личности» (Cryptographic Attestation of Personhood). Пока что она работает только с ограниченным числом USB-ключей безопасности, таких как YubiKeys, HyperFIDO и Thetis FIDO U2F, но любой из их немногочисленных владельцев уже может протестировать эту систему на веб-сайте cloudflarechallenge.com.
Такой ключ безопасности имеет встроенный защищенный модуль, содержащий уникальный секрет, который помещён туда производителем. Модуль безопасности способен доказать, что владеет таким секретом, не раскрывая его. Cloudflare запрашивает эти доказательства и проверяет аутентичность производителя ключа.
Хотя Cryptographic Attestation of Personhood это интересная идея, но далеко не очевидно что она покончит с CAPTCHA. Пока мало шансов встретить этот метод в Сети: сама Cloudflare говорит, что сейчас это всего лишь эксперимент, доступный «в ограниченном количестве в англоязычных регионах».
Компания обещает, «как можно скорее рассмотреть возможность добавления других аутентификаторов» к текущему ограниченному набору поддерживаемого оборудования. В частности, она предполагает использовать прикосновение телефона к компьютеру для передачи беспроводной подписи с помощью NFC. Google уже рассматривает iPhone, и Android-телефоны в качестве физических ключей безопасности; если она и Apple поддержат метод Cloudflare, это могло бы значительно снизить барьер для его использования, поскольку смартфоны встречаются намного чаще, чем ключи безопасности.
Однако, по крайней мере один критик допускает, что система Cloudflare может оказаться худшим решением, чем CAPTCHA. Гендиректор консалтинговой фирмы Webauthn Works, Юрий Акерманн (Ackermann Yuriy) заявил, что «аттестация не доказывает ничего, кроме модели устройства», то есть она не доказывает, действительно ли человек, использующий устройство для аутентификации, является человеком. Таким образом, например, ферма ботов, на которой массово применяются механические приспособления, нажимающие на сенсорную кнопку, способна успешно обойти Cryptographic Attestation of Personhood.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +22 голоса |
|
