Cloudflare的新CAPTCHA替换需要更多工作
流行的 CDN 和 DNS 服务提供商 Cloudflare 想要结束 CAPTCHA,声称人类每天浪费 500 个小时盯着烦人的“证明你不是机器人”测试。虽然该公司提议的替代方案并不完美,但这是朝着正确方向迈出的一步,可以为未来的认证标准奠定基础。
CAPTCHA 是一种“完全自动化的公共图灵测试,可以区分计算机和人类。” 就像夜总会的保镖一样,CAPTCHA 使用简单的问题或谜题来防止机器人入侵网站。但是验证码很烂。这些测试缓慢且令人困惑,它们并不总是正常工作,而且视障人士并不总是可以访问它们。
谷歌正在尽最大努力修复 CAPTCHA,但 Cloudflare 想将其取而代之,取而代之的是一种称为“人格加密证明”的东西,这是一种奇特的说法,即“证明你是人类的硬件”。不出所料,Cloudflare在此身份验证方法的早期测试中专注于USB 安全密钥。
如果您拥有 YubiKey、HyperFIDO 密钥或 Thetis FIDO U2F 安全密钥,那么您现在可以测试 Cloudflare 令人印象深刻的新身份验证系统。只需将 USB 安全密钥连接到您的计算机,授予网站查看您的密钥的权限,单击该密钥,然后您就可以参加比赛了(好吧,您将被重定向回 Cloudflare 的博客)。该系统不仅速度快,而且视障人士也可以使用。它还可以保护用户隐私,因为保证您人性的安全密钥并非与您的姓名或设备唯一相关联。
支持手机的技术不需要太多工作,多亏了谷歌,手机可以代替安全密钥。Cloudflare 还提出了一个未来,制造商将“个人身份加密证明”硬件直接构建到设备中。这些芯片可以使用与制造商相关的特殊代码来验证您的计算机是真实的和唯一的。
但是这些身份验证方法有效吗?是什么阻止机器人使用(或欺骗)USB 安全密钥或任何其他“证明”工具?正如 Webatuhn Works 首席执行官 Ackermann Yuriy指出的那样,FIDO 密钥不仅容易被欺骗,而且它们的工作速度非常快,而且相对匿名,因此连接到少数密钥的机器人农场很容易使受 Cloudflare 系统保护的网站泛滥。
人们已经在策划精心设计的计划,以突破 Cloudflare 提议的 CAPTCHA 替代方案,这表明“人格加密证明”不是未来,至少不是目前的状态。但是身份验证方法非常方便,相当私密,并且相当容易实现。简而言之,闸门已经打开,是验证码消亡的时候了,而 Cloudflare 正朝着正确的方向迈出第一步。