В блоге компании Cloudflare появилась любопытная запись, автором которой выступает инженер компании Тибо Менье (Thibault Meunier). Специалист признается, что в компании ненавидят CAPTCHA, и он подсчитал, что рядовой интернет-пользователь видит CAPTCHA примерно один раз в десять дней, и умножил это на 4 600 000 000 пользователей в мире. Так как в среднем на решение одной CAPTCHA уходит 32 секунды, в итоге пользователи суммарно тратят на это бесполезное, по мнению Менье, занятие около 500 лет ежедневно.
«Сегодня мы запускаем эксперимент, чтобы покончить с этим безумием. Мы хотим полностью избавиться от CAPTCHA. Идея довольно проста: настоящий человек должен иметь возможность просто прикоснуться к своему устройству или посмотреть на него, чтобы доказать, что он человек, не раскрывая при этом своей личности. <…> Сегодняшний день знаменует начало конца для пожарных гидрантов, пешеходных переходов и светофоров в интернете», — пишет Менье.
Как можно понять из приведенной выше цитаты, в Cloudflare хотят использовать для идентификации людей различные ключи безопасности. Начало этому эксперименту положат USB-ключи (YubiKey, HyperFIDO и Thetis FIDO U2F), однако в посте отмечается, что в наше время смартфоны и компьютеры все чаще оснащаются подобными возможностями по умолчанию, и со временем эксперимент может быть расширен.
Вот как Менье описывает криптографическую аттестация личности, основанную на Web Authentication (WebAuthn) Attestation AP. Эту технологию поддерживают любые браузеры в Ubuntu, macOS, Windows и iOS 14.5, а также Chrome на Android v.10 и выше.:
- Пользователь получает доступ к сайту, защищенному криптографической аттестацией личности, например cloudflarechallenge.com.
- Сервер Cloudflare подвергает сомнению, [что это не робот].
- Пользователь нажимает «Я человек» (бета) и получает запрос на использование устройства безопасности.
- Пользователь решает использовать аппаратный ключ безопасности.
- Пользователь подключает устройство к своему компьютеру или прикладывает его к смартфону (использует NFC).
- Криптографическое подтверждение отправляется в Cloudflare, что позволяет пользователю пройти верификацию.
В итоге ожидается, что вся процедура потребует около 5 секунд времени и три клика мышью. При этом конфиденциальность пользователей будет соблюдена. Дело в том, что такая аттестация личности не связана с конкретным пользовательским устройством. Все производители устройств, которым доверяет Cloudflare, это участники FIDO Alliance, то есть любой аппаратный ключ имеет общий идентификатор с другими ключами той же партии, и с точки зрения Cloudflare, любой ключ выглядит так же, как и все остальные ключи в партии.
Пока Cloudflare намерена использовать криптографическую аттестацию личности среди небольшого числа пользователей в англоязычных регионах, чтобы в целом проверить осуществимость своей идеи.
