Cloudflare закликає відмовитись від CAPTCHA

Cloudflare закликає відмовитись від тестів CAPTCHA і каже, що настав час зупинити «це божевілля».

Компанія наголошує, що ці тести для розрізнення комп'ютерів і людей мають багато недоліків. Наприклад, вони погано працюють на мобільних пристроях, тривають 32 секунди й показують об'єкти, що відомі не всім користувачам. Окрім того, CAPTCHA вимагає певних фізичних і когнітивних зусиль та не відповідає параметрам доступності.

Інженер Cloudflare Тібо Меньє (Thibault Meunier) припустив, що середній інтернет-користувач бачить CAPTCHA раз на 10 днів. Якщо врахувати, що у світі 4,6 млрд користувачів і для тесту потрібно 32 секунди, то щодня людство витрачає по 500 років суто на CAPTCHA.

Тому Cloudflare пропонує альтернативний метод — криптографічну атестацію особистості (Cryptographic Attestation of Personhood). Вона працює так:

1. Користувач переходить на сайт, захищений методом криптографічної атестації (наприклад, на cloudflarechallenge.com)
2. Клацає на кнопку «I am human» й отримує запит налаштувати ключ безпеки.
3. Обирає апаратний ключ безпеки.
4. Приєднує пристрій до свого комп'ютера або прикладає до телефона для бездротового підпису (через NFC).
5. Cloudflare отримує підтвердження, а користувач може авторизуватись після того, як підтвердить свою присутність.

Для початку Cloudflare буде підтримувати три різновиди апаратних ключів — YubiKeys, HyperFIDO і Thetis FIDO U2F. Розробники наголошують, що такий тест захищає конфіденційність і триває всього 5 секунд. Зараз його будуть пропонувати в англомовних регіонах, щоб подивитись, чи він приживеться.