A Cloudflare le gustaría hacer que los captchas estén desactualizados

Cloudflare está probando la capacidad de reemplazar las llaves de seguridad con captcha. Este es un conjunto de pruebas de Turing que diferencian automáticamente entre un usuario humano y una computadora. Las pruebas CAPTCHA están completamente automatizadas y solo requieren unos segundos de tiempo de usuario. El objetivo es reducir el costo asociado con el descubrimiento manual de la identidad del usuario y aumentar el rendimiento, es decir, la cantidad de formularios enviados por personas reales y procesados ​​por el sitio web por unidad de tiempo.

CAPTCHA (abreviatura de “Prueba de Turing general totalmente automatizada para informar a las computadoras y a los seres humanos”) es una medida de seguridad del tipo “Autenticación de preguntas y respuestas”. La verificación suele utilizar la imagen humana o la capacidad de analizar el sonido. Inicialmente, una prueba CAPTCHA puede constar de dos partes: una secuencia aleatoria de letras y / o números que aparecen distorsionados y un cuadro de texto. Para aprobar la prueba, todo lo que tiene que hacer es escribir las letras de la imagen en el cuadro de texto. Algunos sitios web han preferido mostrar una imagen con una pregunta matemática.

Pero en 2017, esa medida visual se pasó por alto cuando Google introdujo la prueba Captcha, que solo usa una casilla de verificación simple. Google ha dejado en claro que analiza todo el comportamiento de los usuarios antes de hacer clic. Esto debería incluir especialmente las tecnologías de seguimiento del mouse. Fue entonces cuando nacieron las pruebas ya que el internauta tenía que mirar imágenes y elegir cosas como coches, puentes o bicicletas.

A Cloudflare le gustaría deshacerse de él. Con Thibault Meunier, un ingeniero de investigación interno, la empresa explica:

READ  Nuevo modo "deriva", misma potencia 394 CV

“Según nuestros datos, un usuario tarda un promedio de 32 segundos en completar un CAPTCHA. Hay 4.600 millones de usuarios de Internet en el mundo. Suponemos que un usuario de Internet promedio ve aproximadamente un CAPTCHA cada 10 días”.

“Este cálculo muy simple del reverso del sobre equivale a algo en el rango de 500 años humanos perdidos cada día, solo para que podamos probar nuestra humanidad.

Hoy lanzamos un experimento para acabar con esta locura. Queremos deshacernos de CAPTCHA por completo. La idea es muy simple: un ser humano real debería poder tocar o mirar sus dispositivos para demostrar que son humanos, sin revelar su identidad. ¡Queremos que puedas demostrar que eres un humano sin revelar qué humano eres! ¿Puede preguntar si esto es posible? ¡La respuesta es sí! Comenzamos con unidades USB confiables (como YubiKey) que han existido por un tiempo, pero cada vez más teléfonos y computadoras vienen con esta capacidad de forma predeterminada “.

CAPTCHA sin imagen: un certificado de cifrado personal

La solución que sugirió Cloudflare es una certificación de cifrado caso por caso. Desde el punto de vista de un usuario, este certificado funciona de la siguiente manera:

  1. El usuario accede a un sitio web que está protegido con un certificado de cifrado de última generación, como cloudflarechallenge.com.
  2. Cloudflare está realizando una prueba.
  3. El usuario hace clic en Soy humano (beta) y le solicita un dispositivo de seguridad.
  4. El usuario decide utilizar la clave de seguridad de la máquina.
  5. El usuario conecta el dispositivo a la computadora o hace clic en el teléfono para la firma inalámbrica (usando NFC).
  6. A Cloudflare se le envía un certificado de cifrado, que permite al usuario iniciar sesión después de verificar la prueba de asistencia del usuario.
READ  Este collage jpeg de 5000 imágenes se vendió por 69 millones de dólares

Según Thibault Meunier, esta descarga tarda cinco segundos en completarse. Lo más importante: “Este desafío protege la privacidad del usuario porque la autenticación no solo está vinculada al dispositivo del usuario. Todos los fabricantes de dispositivos en los que confía Cloudflare son parte de la Alianza FIDO. Como tal, cada clave de dispositivo comparte una identificación con otras claves hechas en el mismo grupo . Desde la perspectiva de Cloudflare, su clave se parece a cualquier otra clave del paquete “.

Se necesitan un máximo de tres clics para completar el certificado de cifrado del estado de la persona: “Sin bucle, se invita al usuario a hacer clic en los autobuses 10 veces seguidas”.

Aunque hay una variedad de claves de seguridad de hardware, la implementación inicial de Cloudflare se limita a unos pocos dispositivos: YubiKeys; Claves HyperFIDO y claves Thetis FIDO U2F.

La autenticación cifrada del estado de una persona se basa en WebAuthn. Esta es una API que se ha estandarizado en W3C y ya se ha implementado en la mayoría de los navegadores web y sistemas operativos modernos. Su objetivo es proporcionar una interfaz estándar para autenticar a los usuarios en la web y aprovechar la capacidad de cifrado de sus dispositivos.

conclusión

“Diseñar un desafío para proteger millones de funciones de Internet no es una tarea fácil. En la configuración actual, creemos que el Certificado de estado de persona cifrada brinda sólidas garantías de seguridad y usabilidad sobre los desafíos tradicionales de CAPTCHA. En un estudio preliminar de usuarios, los usuarios indicaron un fuerte preferencia por tocar la tecla de un dispositivo en lugar de hacer clic en Imágenes Sin embargo, sabemos que este es un nuevo sistema que podría mejorarse.

READ  Nvidia ha creado una réplica virtual del CEO Jensen Huang, quien presentó parte de la conferencia durante la cual se convocó al Omniverse en abril de 2021.

“Esta experiencia estará disponible de forma limitada en áreas de habla inglesa. Esto nos permite diversificar el grupo de usuarios y probar este proceso en diferentes lugares. Sin embargo, reconocemos que esta cobertura es insuficiente y tenemos la intención de realizar más pruebas. Si tiene necesidades específicas, “No dude en contactarnos.

Otro tema que estamos observando de cerca es la seguridad. La seguridad de este desafío se basa en el hardware central proporcionado por fabricantes de confianza. Estamos convencidos de que están a salvo. Si hay una infracción, podremos revocar rápidamente la licencia de claves públicas de los fabricantes en varios niveles de precisión “.

Fuente : Cloudflare

¿Y tú?

¿Qué opinas sobre CAPTCHA? ¿Con qué frecuencia lo experimenta mientras navega por la web (rara vez, a veces, a menudo, todo el tiempo)?
¿Qué opinas de la solución de Cloudflare?

Ver también:

Cloudflare ha decidido abandonar reCAPTCHA de Google a favor del servicio alternativo hCaptcha porque Google cobrará una tarifa por usar el servicio.
“Las pruebas CAPTCHA no nos reconocen como seres humanos”, las asociaciones australianas de personas con discapacidad quieren que desaparezcan de la web.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *