Cloudflare cho biết đã đến lúc chấm dứt ‘sự điên rồ’ của CAPTCHA, ra mắt sự thay thế dựa trên khóa bảo mật mới

Cloudflare, mà bạn có thể biết đến với tư cách là nhà cung cấp dịch vụ DNS hoặc công ty cho bạn biết lý do tại sao trang web bạn nhấp vào không tải, muốn thay thế “sự điên rồ” của CAPTCHA trên web bằng một hệ thống hoàn toàn mới.

CAPTCHA là những bài kiểm tra bạn phải thực hiện, thường là khi cố gắng đăng nhập vào một dịch vụ, yêu cầu bạn nhấp vào hình ảnh của những thứ như xe buýt hoặc băng qua đường hoặc xe đạp để chứng minh rằng bạn là một con người. (CAPTCHA, nếu bạn chưa biết, là viết tắt của “Thử nghiệm Turing công cộng hoàn toàn tự động để nói với Máy tính và Con người.”) Vấn đề là, chúng gây ra nhiều rắc rối khi sử dụng web và đôi khi có thể khó giải quyết – tôi Tôi chắc chắn rằng tôi không phải là người duy nhất đã thất bại một cách đáng tiếc CAPTCHA vì tôi không nhìn thấy góc của lối sang đường dành cho người đi bộ trong một hình ảnh.

Trong một blog, Cloudflare cho biết họ hướng tới “loại bỏ hoàn toàn CAPTCHA”Bằng cách thay thế chúng bằng một cách mới để chứng minh bạn là một con người bằng cách chạm vào hoặc nhìn vào một thiết bị sử dụng hệ thống mà nó gọi là“ Chứng nhận mật mã về tư cách cá nhân ”. Hiện tại, nó chỉ hỗ trợ một số lượng hạn chế khóa bảo mật USB như YubiKeys, nhưng bạn có thể tự mình kiểm tra hệ thống của Cloudflare ngay bây giờ trên trang web của công ty.

Tôi đã thử nó, và nó hoạt động tuyệt vời. Tất cả những gì tôi phải làm là nhấp vào nút “Tôi là con người (beta)” nổi bật trên trang web, sau đó làm theo một vài lời nhắc để chọn khóa bảo mật của mình, sau đó nhấn vào nó, sau đó cho phép trang web truy cập vào sản phẩm và kiểu máy của Chìa khóa. Khi tôi làm vậy, hệ thống đã vẫy tôi qua (mặc dù nó chỉ đưa tôi trở lại blog).

Toàn bộ quá trình diễn ra trong vài giây, và tôi phải thừa nhận rằng thật tuyệt khi không đánh đố các hình ảnh nhiễu hạt của xe buýt và các vật thể trông giống như xe buýt. Và ngoài tốc độ của tất cả, phương pháp mới này có thể có một lợi ích lớn về khả năng tiếp cận, vì những người khuyết tật về thị giác có thể không hoàn thành CAPTCHA ở dạng hiện tại của họ.

Dưới đây là “quảng cáo chiêu hàng” của công ty về những gì đang diễn ra đằng sau hậu trường để xác nhận rằng bạn là một con người thông qua phương pháp mới:

Phiên bản ngắn gọn là thiết bị của bạn có một mô-đun bảo mật nhúng chứa một bí mật duy nhất được nhà sản xuất niêm phong. Mô-đun bảo mật có khả năng chứng minh nó sở hữu một bí mật như vậy mà không cần tiết lộ. Cloudflare yêu cầu bạn cung cấp bằng chứng và kiểm tra xem nhà sản xuất của bạn có hợp pháp hay không.

Bạn có thể đọc một lời giải thích sâu rộng hơn về blog của công ty.

Mặc dù tất cả chỉ là một ý tưởng hấp dẫn, nhưng nó có thể không phải là dấu chấm hết cho CAPTCHA như chúng ta biết. Đối với một điều, có thể bạn sẽ không thấy lời nhắc ở nhiều nơi, vì Cloudflare cho biết đây chỉ là một thử nghiệm ngay bây giờ, có sẵn “trên cơ sở hạn chế ở các khu vực nói tiếng Anh.” Và ở trạng thái hiện tại, nó chỉ hoạt động với một số phần cứng hạn chế: các khóa YubiKeys, HyperFIDO và Thetis FIDO U2F.

Cloudflare hứa rằng họ sẽ “xem xét thêm các trình xác thực khác càng sớm càng tốt.” Điều đó có thể mở rộng sang điện thoại của bạn: Cloudflare gợi ý khả năng chạm điện thoại vào máy tính của họ để chuyển chữ ký không dây bằng NFC. Google hiện có thể điều trị cả hai iPhone và điện thoại Android như các khóa bảo mật vật lý; Nếu Google và Apple hợp tác với phương pháp của Cloudflare, nó có thể giảm đáng kể rào cản đối với việc sử dụng nó, vì điện thoại thông minh phổ biến hơn nhiều so với khóa bảo mật.

Tuy nhiên, hệ thống của Cloudflare có thể thực sự là một tệ hơn giải pháp, theo một nhà phê bình. Như Ackermann Yuriy (Giám đốc điều hành của công ty tư vấn Webauthn Works) chỉ ra, “Chứng thực không chứng minh bất cứ điều gì ngoài mô hình thiết bị,” có nghĩa là nó không thực sự chứng minh nếu ai đó sử dụng thiết bị để xác thực, trên thực tế, là con người.

Về cơ bản, Cloudflare thừa nhận điều này trong blog riêng của mình, nói rằng một con chim đang uống rượu (những đồ chơi chim nhúng mỏ vào nước nhiều lần) có thể nhấn cảm biến chạm trên khóa bảo mật, do đó vượt qua kiểm tra xác thực. Nếu quan điểm của CAPTCHA là ngăn chặn các trang trại bot chạy quá mức các trang web, chúng tôi có thể cần phải xem xét liệu các trang trại bot được trang bị các thiết bị khóa bảo mật được ban giám khảo gian lận (hoặc tệ hơn) có lợi dụng hay không.

Cloudflare không phải lúc nào cũng được kết hợp tích cực với CAPTCHA; trong một ví dụ gần đây, công ty đã chuyển từ reCAPTCHA của Google sang một dịch vụ từ hCaptcha vào tháng 4 năm 2020, và một số người không phải là người hâm mộ:

CAPTCHA cũng giả định rằng chủ sở hữu trang web muốn cho phép lưu lượng truy cập tương đối ẩn danh, nhưng danh tính ẩn danh có thể không liên quan nếu một trang web có danh tính thực của bạn thông qua thông tin đăng nhập bạn đã cung cấp. Và với sự thúc đẩy gần đây chống lại việc nhắm mục tiêu quảng cáo, phần lớn là do Apple tính năng bảo mật mới lớn trong iOS 14.5 hỏi người dùng xem họ có muốn cho phép từng ứng dụng theo dõi họ trên web hay không, có thể là các nhà cung cấp trang web sẽ tiến nhiều hơn đến thông tin đăng nhập.

Mặc dù nghe có vẻ phức tạp khi phải đối phó với thậm chí nhiều hơn thông tin đăng nhập (điều này dễ thực hiện hơn nhiều với trình quản lý mật khẩu tuyệt vời!), sự thay đổi đó, ngược lại, có thể có lợi ích tiềm năng là đẩy chúng ta đến một tương lai không mật khẩu thậm chí sớm hơn. Nếu nhiều dịch vụ đang thúc đẩy đăng nhập trực tiếp, điều đó có thể dẫn đến việc nhiều dịch vụ hơn hỗ trợ khóa bảo mật thay vì mật khẩu. Và nhiều trang web hỗ trợ khóa bảo mật cũng có thể gây áp lực lên những người khác hỗ trợ chúng, giống như xu hướng chúng ta thấy đối với xác thực hai yếu tố trên điện thoại.

Mặc dù chúng ta vẫn chưa ở tương lai không mật khẩu đó, nhưng sự thay thế tiềm năng của Cloudflare cho CAPTCHA có thể là bước đầu tiên theo hướng đó.