Bezpieczeństwo w sieci

Masz dość CAPTCHA? Cloudflare pokazało dużo lepszy pomysł by potwierdzić, że jesteś człowiekiem

Paweł Winiarski
Masz dość CAPTCHA? Cloudflare pokazało dużo lepszy pomysł by potwierdzić, że jesteś człowiekiem
11

Jeśli miałbym wybrać kilka najbardziej irytujących rzeczy w internecie, CAPTCHA byłaby w ścisłej czołówce. Nie wiem jak Wy, ale ja mam dość ciągłego udowadniania, że jestem człowiekiem i nic co ludzkie nie jest mi obce.

Myślę, że każdy wie, czym jest CAPTCHA, ale na wszelki wypadek przypomnę. To jedna z technik zabezpieczeń, która chroni przed internetowymi automatami na stronach www. Zadanie tego systemu jest proste - zweryfikować, czy użytkownik jest człowiekiem, czy robotem wysłanym by odczytywać masowo dane. Zasada działania CAPTCHA jest prosta - na ekranie pojawia się proste pytanie, a system oczekuje odpowiedzi i co do zasady, jest jej w stanie udzielić tylko człowiek. Najczęściej jest to obrazek z losowo wybranymi literami lub prostym słowem. Sęk w tym, że niektóre litery nachodzą na siebie lub są zniekształcone, co - przynajmniej w teorii - ma utrudnić algorytmowi działanie i treść potrafi odczytać tylko człowiek. W teorii, bo wielokrotnie zdarza mi się widzieć obrazki, których treści nie jestem w stanie odczytać nawet w okularach.

Kolejny irytujący test to wybieranie obrazków, na których pojawia się oznaczony w treści element. Na pewno nie raz i nie dwa widzieliście lub nie widzieliście go na tym małym kwadraciku, a i tak wybraliście źle. Zdarzało mi się nawet zapętlić w błędnych odpowiedziach, popełniać błędy za błędem aż algorytm uznał, że jestem robotem. Szkoda tylko, że na obrazku naprawdę był hydrant, a przynajmniej coś, co go przypominało. Albo fragment świateł drogowych i bądź tu teraz człowieku mądry, zastanawiaj się, czy algorytm uważa, że to wskazany obiekt, czy jednak nie. Swego czasu ten test najbardziej dokuczał mi podczas logowania do sklepu PlayStation i zostawił bardzo negatywne wspomnienia.

Doskonale rozumiem zamysł CAPTCHA, ale system uprzykrza korzystanie z sieci i chyba każdy ma go już dość.

Cloudflare, które znacie pewnie z ekranów informujących o tym, że jakaś strona aktualnie nie działa, ma ciekawy pomysł, który mógłby zastąpić weryfikację CAPTCHA. Cryptographic Attestation of Personhood (Kryptograficzne poświadczenie osobowości) to system współpracujący z obecnymi na rynku kluczami bezpieczeństwa YubiKeys, HyperFIDO, Thetis FIDO U2F. Na razie lista obsługiwanych urządzeń jest krótka z uwagi na to, że system jest aktualnie w fazie eksperymentu. Cloudflare obiecuje jednak, że jeśli pomysł wypali, kolejne klucze autentyfikacji będą dodawane do listy urządzeń współpracujących.

Pomysł bardzo mi się podoba, choć akurat przy kluczach na USB-A wydaje się trochę archaiczny - ale to już akurat kwestia wyboru dokonanego przez użytkownika, który sam doskonale wie, jakie porty ma w komputerze. Jasne, trzeba ponieść wydatek, ale zobaczcie jak bardzo poprawia się wtedy wygoda podróżowania po bezkresach  internetu. Tyle tylko, że używanie fizycznego klucza wcale nie oznacza, że do danych na stronie dostaje się człowiek i przecież taki system może być wykorzystywany na farmach zbierających dane. Wymagałoby to oczywiście trochę zachodu i wydatku, ale pojawiają się już głosy, że to gorsze rozwiązanie niż CAPTCHA. Trudno mi też uwierzyć, by jakakolwiek zmiana w sieci, która nakazuje użytkownikom zakup fizycznego urządzenia, spotka się kiedykolwiek z akceptacją użytkowników.

Jeszcze ciekawszym pomysłem byłoby wykorzystanie smartfonów, o czym Cloudflare też wspomina. Przecież korzystając z NFC można ich użyć jako fizycznych kluczy bezpieczeństwa i trzymam kciuki firma nawiązała współpracę z Apple i Androidem. Stuknięcie w ikonę w telefonie zamiast przepisywania liter z obrazka czy szukania hydrantu brzmi świetnie.

Jestem bardzo ciekawy jak będzie wyglądać przyszłość systemów antyspamowych i w którą stronę pójdą nowoczesne rozwiązania. Kilka lat temu Google zaprezentowało uproszczony system ograniczający działanie użytkownika do zaznaczania pola "nie jestem robotem", resztą zajmował się algorytm badający ryzyko wpuszczenia na stronę robota. Nie działa to oczywiście idealnie i w razie wątpliwości odsyła do klasycznego testu, ale zawsze to jakieś światełko w tunelu pokazujące, że przyszłość algorytmów zabezpieczających może być mniej inwazyjna niż ta, do której jesteśmy przyzwyczajeni.

grafika

źródło

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu