Cloudflare lança campanha para ‘acabar com a loucura’ dos CAPTCHAs. Empresa propõe o uso do ‘Atestado Criptográfico de Personalidade’ e WebAuthn como alternativa.
Você já perguntou como um cego faz para poder responder a um desafio de Captcha? Imagine que um cego utiliza ferramentas de transcrição audiométrica para utilizar o computdaor e navegar na Internet, mas estes softwares não são capazes de ler e traduzir os captchas, mesmo porque o objetivo destes recursos de identifiação é não ser “lido” por softwares mas por humanos.
A Cloudflare pediu ao mundo que “acabe com essa loucura” enviando o teste de Turing público completamente automatizado para separar os computadores e os humanos (CAPTCHAS) para a lata de lixo da história.
O problema das empresas com o usuo dos CAPTCHAS – especificamente aqueles que exigem que os usuários identifiquem imagens – é que eles levam 32 segundos para serem concluídos, são frustrantes, funcionam mal em dispositivos móveis, presumem conhecimento cultural dos objetos em exibição, e que a conclusão muitas vezes requer certas capacidades físicas e cognitivas que nem todos os usuários possuem.
Selecione todos os ônibus. Clique nas bicicletas. Esta foto tem semáforos? Por mais ridículas que sejam essas perguntas, é quase certo que você tenha visto uma recentemente. Eles são uma forma de os serviços online separarem humanos de bots e são chamados de CAPTCHAs . CAPTCHAs fortalecem a segurança dos serviços online. Mas enquanto eles fazem isso, há um custo muito real associado a eles.
Com base em nossos dados, o engenheiro de pesquisa da Cloudflare, Thibault Meunier, diz um usuário leva em média 32 segundos para concluir um desafio CAPTCHA. Existem 4,6 bilhões de usuários globais da Internet, assim presume-se que um usuário típico da Internet vê aproximadamente um CAPTCHA a cada 10 dias. Com essa matemática muito simples, o engenheiro sugere que a algo em torno de 500 anos humanos são desperdiçados todos os dias – apenas para nós provarmos nossa humanidade.
Com esta ideia em mente, a Cloudflare pretende lançar uma experiência para acabar com essa loucura, querendo acabar completamente dos CAPTCHAs. A ideia é bastante simples: um ser humano real deve ser capaz de tocar ou olhar para seu dispositivo para provar que é humano, sem revelar sua identidade. A ideia é o uso de chaves USB confiáveis (como YubiKey ) que já existem há algum tempo, mas cada vez mais os telefones e computadores vêm equipados com essa capacidade por padrão.
A ideia de “matar” o uso do Captcha é coroborado por Wayne Hawkins, cego a alguns anos, que em uma postagm no site Change.org diz que os “eles (captchas) são frustrantes para todos os usuários da Internet, mas para mim e milhões de outras pessoas cegas ou deficientes visuais, os testes CAPTCHA nos impedem de nos envolver na web e acessar serviços governamentais on-line, porque eles não podem ser lidos por um software de leitura de tela”
Para piorar a situação, está o fato de que até mesmo o órgão oficial de padrões, o World Wide Web Consortium, disse que o CAPTCHA exclui pessoas com deficiência e sugeriu vários métodos alternativos de provar que os usuários da web são humanos. Uma alternativa óbvia e acessível é um link de ativação de e-mail simples. O CAPTCHA de áudio também deveria resolver o problema para cegos ou deficientes visuais, mas “minha experiência com o CAPTCHA de áudio tem sido quase tão inacessível quanto um CAPTCHA visual normal – devo ter ouvido o áudio do Skype CAPTCHA 20 vezes antes de desistir e perguntar ao meu amigo vidente para configurar minha conta.”, disse Hawkins.
CAPTCHA sem imagem: atestado criptográfico de personalidade
A alternativa que a Cloudflare lança é um “Atestado Criptográfico de Personalidade” (Cryptographic Attestation of Personhood) que funciona da seguinte forma:
- O usuário acessa um site protegido por Atestado Criptográfico de Personalidade, como cloudflarechallenge.com .
- Cloudflare oferece um desafio.
- O usuário clica em “Sou humano (beta)” e é solicitado um dispositivo de segurança.
- O usuário decide usar uma chave de segurança de hardware.
- O usuário conecta o dispositivo ao computador ou toca-o no telefone para assinatura sem fio (usando NFC).
- Um atestado criptográfico é enviado ao Cloudflare, que permite ao usuário entrar após a verificação do teste de presença do usuário.(*)
(*) Um teste de presença do usuário é uma forma simples de gesto de autorização e processo técnico onde um usuário interage com um autenticador (normalmente) simplesmente tocando-o (outras modalidades também podem existir), produzindo um resultado booleano. Observe que isso não constitui verificação do usuário porque um teste de presença do usuário , por definição, não é capaz de reconhecimento biométrico , nem envolve a apresentação de um segredo compartilhado, como uma senha ou PIN.
A conclusão desse fluxo leva cinco segundos. Mais importante ainda, esse desafio protege a privacidade dos usuários, uma vez que o atestado não está vinculado exclusivamente ao dispositivo do usuário. Todos os fabricantes de dispositivos de confiança da Cloudflare fazem parte da FIDO Alliance. Assim, cada chave de hardware compartilha seu identificador com outras chaves fabricadas no mesmo lote. Da perspectiva da Cloudflare, sua chave se parece com todas as outras chaves do lote. São necessários no máximo três cliques para preencher um atestado criptográfico de personalidade. Não há looping, onde um usuário é solicitado a clicar nos ônibus 10 vezes consecutivas.
Embora haja uma variedade de chaves de segurança de hardware, o lançamento inicial é limitado a alguns dispositivos: YubiKeys, que a empresa diz ter tido a chance de usar e testar; Chaves HyperFIDO; e chaves Thetis FIDO U2F.
“Impulsionar padrões de autenticação abertos como o WebAuthn há muito tempo está no centro da missão da Yubico de fornecer segurança poderosa com uma experiência de usuário agradável”, disse Christopher Harrell, diretor de tecnologia da Yubico. “Ao oferecer uma alternativa CAPTCHA por meio de um único toque apoiado pelo hardware YubiKey e criptografia de chave pública, o experimento de Atestado Criptográfico de Personalidade da Cloudflare pode ajudar a reduzir ainda mais a carga cognitiva colocada sobre os usuários conforme eles interagem com sites sob tensão ou ataque. Espero que esta experiência permita que as pessoas atinjam seus objetivos com o mínimo de atrito e forte privacidade, e que os resultados mostrem que vale a pena que outros sites considerem o uso de segurança de hardware para mais do que apenas autenticação. ”
Como funciona?
O atestado criptográfico de personalidade depende do atestado de autenticação da Web (WebAuthn) . Esta é uma API padronizada no W3C e já implementada na maioria dos navegadores e sistemas operacionais modernos. Seu objetivo é fornecer uma interface padrão para autenticar usuários na web e usar o recurso de criptografia de seus dispositivos.
À medida que aumenta a necessidade de maior segurança com usabilidade aprimorada, a Cloudflare prevê que as instâncias de implantação do WebAuthn aumentem.
Plataforma | Navegadores Compatíveis |
---|---|
iOS 14.5 | Todos os navegadores |
Android 10 e posterior | cromada |
janelas | Todos os navegadores |
Mac OS | Todos os navegadores |
Ubuntu | Todos os navegadores |
O objectivo deste projecto da Cloudflare é: “queremos saber que você é humano. Mas não estamos interessados em qual humano você é.”
“Felizmente, a API WebAuthn percorre um longo caminho para cuidar disso para nós. Não que queiramos, mas a API WebAuthn impede a coleta de dados biométricos, como impressões digitais”, complementa.
Quando o dispositivo pede uma autenticação biométrica – como por meio de um sensor de impressão digital – tudo acontece localmente. A verificação tem como objetivo desbloquear o módulo seguro do seu dispositivo, que fornece uma assinatura associada à sua plataforma. Para isto a Cloudflare aproveitou o processo de registro do WebAuthn, que foi projetado para realizar várias autenticações.
Um uso comum de CAPTCHA é rotular conjuntos de dados que a AI tem dificuldade de identificar. Isso pode ser para livros, números de ruas ou hidrantes. Embora seja útil para a ciência, também tem sido usado como uma forma de as empresas alavancarem a capacidade de reconhecimento humano para ganhos comerciais sem o conhecimento de seus usuários.
Com o atestado criptográfico de personalidade, isso não acontece. “Temos mais flexibilidade para projetar o fluxo do usuário, pois não somos mais limitados pelo modelo de desafio CAPTCHA.”, afirma a Cloudflare, que oferecerá atestado criptográfico de personalidade em uma base limitada em regiões de língua inglesa para testar a viabilidade de sua ideia.
A postagem de Meunier aponta para o fato de que alguns smartphones agora podem executar a mesma função que uma chave de segurança, mas não chega a sugerir que a Cloudflare os usará. O The Register imagina que isso pode ser um obstáculo para as ideias da Cloudflare, já que as chaves de segurança física não são baratas – temos dificuldade para encontrar qualquer uma a menos de US $ 20 – e a maioria são dispositivos USB em um momento em que essas portas estão se tornando menos prevalente.
Fonte: The Register & Cloudflare & Change.org
Veja também:
- Ransomware Task Force: É hora de acabar com o ransomware
- Por que sua postura de segurança cibernética deve ser de confiança zero
- Milhões colocados em risco por roteadores antigos e desatualizados
- Cibercriminosos iniciaram exploração de Microsoft Exchange vulneráveis 5 minutos após as notícias se tornarem públicas
- As 10 principais detecções de ameaças observadas no Microsoft Azure AD e Office 365
- Pontuação de crédito exposta em API da Experian EUA utilizada por parceiros
- Bruxas, feiticeiros e super-heróis podem ajudar seus filhos a ficarem protegidos
- Ataques cibernéticos custam a pequenas empresas dos EUA US $ 25 mil anualmente
- Microsoft alerta empresas de aviação e viagens para campanha RAT
- MPDFT alerta sobre aplicação de golpes usando nomes de membros do MP
- Milhões de dispositivos Dell vulneráveis à atualização de falha de driver
- Intel, AMD disputam descobertas sobre vulnerabilidades de chips
3 Trackbacks / Pingbacks