CAPTCHA - "Koniec tego szaleństwa". Cloudflare chce nas uwolnić od uciążliwych kodów

Specjalizująca się w usługach sieciowych firma Cloudflare zapowiedziała na swoim blogu, że rozpoczyna wprowadzanie nowej technologii, której celem będzie zastąpienie kodów CAPTCHA. Zamiast wpisywać w okienko cyfry i litery schowane wśród geometrycznych kształtów, albo zaznaczać kwadraty zawierające znaki drogowe czy autobusy, wystarczy nacisnąć przycisk.

• CAPTCHA to rodzaj zabezpieczenia na stronach internetowych
• Opiera się na wpisywaniu liter lub znaków, wybieraniu poszczególnego elementu na zdjęciu lub innych pytaniach do użytkownika
• Służy ono ograniczeniu tzw. spamu (niechcianych komentarzy zaśmiecających stron) i innych działań wykonywanych w zautomatyzowany sposób
• Jest uznawane przez wielu internautów za irytujące

Kody CAPTCHA to niezbyt lubiane, delikatnie rzecz ujmując, za to bardzo potrzebne zabezpieczenie pozwalające odfiltrować ruch generowany przez różnego rodzaju skrypty czy boty. Mechanizm, którego nazwa jest akronimem od słów Completely Automated Public Turing test to tell Computers and Humans Apart (Całkowicie Automatyczny Publiczny Test Turinga pozwalający odróżnić Komputery od Ludzi) ustawia się wszędzie tam, gdzie zachodzi możliwość masowego pobierania danych.

Niestety, bardzo często CAPTCHA okazuje się trudne do przejścia także dla ludzi, zabierając czas i irytując. Pomysł Cloudflare na zastąpienie mechanizmu jest banalnie prosty: klucze sprzętowe współpracujące z systemem Cryptographic Attestation of Personhood (Kryptograficzne Poświadczenie Osobowości). Jak to ma działać?

Na początek do udowadniania naszej przynależności do rasy ludzkiej mają posłużyć dostępne już na rynku zaufane klucze USB w rodzaju urządzeń YubiKey. Kiedy użytkownik zażąda dostępu do strony chronionej przez system CAoP, Cloudflare wyświetli monit, w którym po kliknięciu "Jestem człowiekiem (beta)" pojawi się prośba o użycie sprzętowego klucza bezpieczeństwa.

Użytkownik podłącza klucz USB albo za pośrednictwem NFC autoryzuje się z pomocą smartfonu, przesyłając kryptograficzne potwierdzenie bycia człowiekiem do Cloudflare, które umożliwia dostęp do żądanych zasobów.

Według firmy cała procedura ma zajmować około 5 sekund, co niewątpliwie byłoby znaczącym postępem wobec 32 sekund, jakie zgodnie z badaniami Cloudflare zajmuje przejście testu CAPTCHA. Firma deklaruje, że w skali całego internetu pozwoli to uniknąć zmarnowania około 500 osobo-lat poświęconych na klikanie obrazków z przejściami dla pieszych. Niestety, póki co metoda wydaje się mieć całkiem sporo minusów.

Pierwszym problemem jest fakt, że na obecnym etapie działania systemu konieczny jest użycie jednego z kluczy sprzętowych pochodzących od stosunkowo niewielkiej liczby dostawców. To oznacza dla użytkowników konkretny wydatek i konieczność noszenia wspomnianego urządzenia zawsze ze sobą, co nie brzmi jak rozwiązanie przyjazne i wygodne.

Problem ten ma szansę na szybkie rozwiązanie, bo Cloudflare deklaruje, że pracuje nad rozwiązaniami umożliwiającymi autoryzowanie się za pośrednictwem urządzeń mobilnych - a smartfony mamy wszak i tak zawsze ze sobą.

Krytycy wskazują też, że wykorzystanie autoryzacji sprzętowej do udowadniania, że jest się człowiekiem zwyczajnie mija się z celem. O ile w przypadku CAPTCHA stosuje się zagadki, które są stosunkowo łatwe dla ludzi, a dość trudne dla niezaawansowanych algorytmów, czyniąc próby automatycznego dostępu nie tyle niemożliwymi, co nieopłacalnymi, o tyle nie ma mechanizmu, który chroniłby przed wykorzystaniem tych samych metod autoryzacji w sposób zautomatyzowany.

Fakt ten dostrzega zresztą sama firma Cloudflare, zdaniem której będzie to jednak na tyle trudne i powolne, że system mimo wszystko spełni swoje zadanie.