Cloudflare пообещал избавить пользователей от каптчи системой ключей безопасности +8


AliExpress RU&CIS

Поставщик услуг DNS Cloudflare пообещал своим пользователям замену «безумной» каптчи совершенно новой системой «криптографической аттестации личности». На данный момент она поддерживает только ограниченное количество USB-ключей безопасности, таких как YubiKeys, HyperFIDO и Thetis FIDO U2F.

Как подсчитала компания, на решение каптчи у пользователя уходит, в среднем, 32 секунды. В мире насчитывается 4,6 млрд пользователей Интернета, и каждый сталкивается с такими задачами примерно раз за 10 дней. Таким образом, на решение каптчи ежедневно уходит примерно 500 лет.

Систему можно протестировать на сайте провайдера. Для этого нужно нажать на кнопку «Я человек», а затем, следуя нескольким подсказкам, выбрать свой электронный ключ и разрешить сайту доступ к марке и модели. Весь процесс занимает несколько секунд и имеет большие преимущества в плане доступности, в том числе для людей с ограниченными возможностями по зрению.

Криптографическая аттестация личности основана на аттестации веб-аутентификации (WebAuthn). Это API, стандартизированный консорциумом W3C и уже реализованный в большинстве современных веб-браузеров и операционных систем. Он нацелен на предоставление стандартного интерфейса для аутентификации пользователей в сети и использования криптографических возможностей их устройств.

Каждое устройство имеет встроенный защищенный модуль, содержащий уникальный секрет, запечатанный производителем. Cloudflare запрашивает у устройства доказательства подлинности, не раскрывая информацию о модуле.

Криптография с открытым ключом позволяет создавать неподдающиеся подделке цифровые подписи, а пользователь генерирует их ключ, которым может подписывать сообщения, и ключ проверки, который может использовать кто угодно для проверки их подлинности.

Иллюстрация криптографической системы на примере общения Алисы и Боба
Иллюстрация криптографической системы на примере общения Алисы и Боба

Cloudflare проверяет, что открытый ключ пользователя подписан открытым ключом производителя и проверяет цепочку сертификатов вплоть до корневого сертификата производителя.

Однако пока это всего лишь эксперимент, доступный «в ограниченных масштабах в англоязычных регионах». Cloudflare обещает, что «как можно скорее рассмотрит возможность добавления других аутентификаторов». Если бы Google и Apple присоединились к методу Cloudflare, это могло бы значительно снизить барьер для входа, поскольку смартфоны гораздо более распространены, чем ключи безопасности.

Однако гендиректор консалтинговой фирмы Webauthn Works Юрий Акерманн отмечает, что система Cloudflare может оказаться худшим решением, так как «аттестация не доказывает ничего, кроме модели устройства», то есть фактически не доказывает, действительно ли человек, использующий устройство для аутентификации, является человеком.

Cloudflare, по сути, признает это в своем блоге, говоря, что сенсорный датчик на ключе безопасности может нажать даже игрушка.

Ранее Cloudflare перешла от Google reCAPTCHA к сервису от hCaptcha. Первый критиковали за синхронизацию пользовательских файлов cookie с сайтом google.com и их использование в целях рекламы. hCaptcha же использует методы машинного обучения, чтобы сохранять конфиденциальность и в то же время выявлять ботов с высокой точностью.

Однако с появлением новой функции конфиденциальности в iOS 14.5, которая запрещает отслеживание пользователей без их разрешения, сайты, вероятно, будут обращаться к системе авторизованного входа чаще. Возможно, они будут внедрять ключи безопасности вместо пароля. Google уже объявила, что внедрит для всех пользователей Gmail и владельцев учетных записей систему двухфакторной аутентификации.




Комментарии (23):

  1. entze
    /#23042988

    С сайта Yubikey:
    We cannot currently ship to:
    China, Afghanistan, Russia, Ukraine, North Korea, Iran, Sudan, Cuba, or Syria

    • Silvarum
      /#23043076 / +1

      Скорее всего какая-нибудь ФСБшная сертификация на криптосредства мешает слать напрямую, но у них есть официальный дистрибьютор в России (с нехилой такой наценкой).

    • Alexsey
      /#23043078

      У Yubikey вроде бы есть официальный дистрибьютор в России. Но цены абсолютно негуманные.

  2. v1000
    /#23043046

    image
    Серьезно?

  3. Alexsey
    /#23043090 / +1

    Что, ботоводам теперь будет достаточно просто купить или сэмулировать usb ключ чтобы обойти их защиту?

    • Sap_ru
      /#23043420

      Угу, неизвлекаемый приватный ключ сэмулировать…
      Но можно по сети пробросить один ключ на сотню компьютеров. Но можно ограничивать количество логинов с одного колюча в единицу времени.

    • cosmolev
      /#23043434

      Вот вот. Я не против чтобы бот от моего имени выполнял рутинные операции в интернете, но это не понравится сайтам которые хотят откручивать рекламу живому пользователю.

    • snp
      /#23044402

      Сэмулировать не получится, т.к. проверяется, что ключ подписан производителем. И по этой же причине обычному человеку не получится использовать такие устройства, как Trezor либо самодельные. Потому что в этом случае ключ будет без подписи производителя.

    • Aelliari
      /#23045108

      А ещё cf отказался принять мой андроид-телефон в качестве ключа. Современные андроиды/iOS это умеют, но правда в рамках самого устройства, использовать их для аутентификации на ПК нельзя

  4. Gengenid
    /#23043140

    Зато какая криптографическая идентификация пользователей для таргетинга рекламы!
    Приватный режим браузера не поможет.

    • SpAwN_gUy
      /#23043196

      Осталось подключить апи чипированых паспортов к этой системе и, вуаля, готовая авторизация по паспорту в интернете

    • snp
      /#23044416

      Т.к. в обычном U2F токене ключ прошит постоянный, то получаем гарантированную идентификацию пользователя. Понятно, что токены можно регулярно менять, но это недёшево.

  5. Sap_ru
    /#23043432

    Вообще, идея странная. Почему только эти ключи без полной поддержки открытых стандартов?
    Получается, что вся защита сводится к стоимости ключа.
    А что мешало просто добавить регистрацию по стандартному FIDO U2F без привязки к производителю? Взял ключ, зарегистрировал на капче — пользуйся в удовольствие.
    Ну, и секурность в плане анонимности запредельная — пользователя можно будет гарантированно и однозначно идентифицировать на различный ресурсах даже без регистрации — тупо по прохождению капчи. Молодцы, чё!

    • tester12
      /#23044284 / +1

      Тут уж два варианта: либо анонимность (и боты-спамеры, прикидывающиеся людьми), либо интернет строго по паспорту аппаратному ключу (но зато никаких или почти никаких ботов). Подозреваю, что большинство рядовых пользователей (не гиков-айтишников) выберет второй вариант.

      • bgBrother
        /#23044404 / +1

        либо анонимность, либо интернет строго по паспорту аппаратному ключу
        Вы забыли третий вариант — оставить капчу.

        • tester12
          /#23044654

          А смысл? Очень скоро (~ 5-10 лет) боты обгонят людей в простейших задачах распознавания (текста, картинок, звуков).

          Можно, конечно, выводить на капче систему дифференциальных уравнений. Но и такое бот решит быстрее человека.

      • edo1h
        /#23046252

        Подозреваю, что большинство рядовых пользователей (не гиков-айтишников) выберет второй вариант.

        подозреваю, что большинству рядовых пользователей плевать на ботов с высокой колокольни

    • snp
      /#23044532

      добавить регистрацию по стандартному FIDO U2F без привязки к производителю

      U2F 1.0: Verifying That a U2F Device Is 'genuine' — это описано в стандарте.


      Идея Cloudflare в том, что стоимость токена будет ограничивать злоумышленников. Именно потому, что в хардварном токене открытый ключ подписан производителем. А в эмуляторах и самодельных токенах — не подписан.


      С другой стороны получаем угрозу анонимности в интернете. Да, пока токены относительно дорогие и мало у кого есть, но если эта идея взлетит, то в ближайшие годы мы сможем увидеть тот самый «интернет по паспорту».

  6. yoda776
    /#23043540 / +2

    Все ясно, очередной зонд «для вашего удобства».

    image

  7. tmpnick
    /#23043668 / +1

    Это-же гениальный способ сделать интернет по паспорту! Главное нашим властям о нём не говорите.

  8. Jogger
    /#23044000

    Да толку-то. Это работает только с cloudflare, а поганой рекапчей заражено пол-интернета. Капля в море. И ради этой капли покупать недешёвый ключ.

  9. Astus
    /#23044262 / +2

    А получился классический такой, почти эталонный костыль. Который ещё в перспективе может принести больше неудобств и откровенных проблем, чем пользы. Нет уж, я лучше буду дальше раз в неделю ребусы разгадывать по старинке.

    Будьте здоровы!
    > каптчи
    Аж нос защекотало, пока читал. Вроде общепринято «капча» же.