Cloudflare wil irritante CAPTCHA-puzzels vervangen: 'mensheid verspilt 500 jaar per dag'

46 reacties

Als je vaak genoeg een captcha-puzzel bent tegengekomen snap je het: het algoritme heeft het niet op gebruikers die het op willen lossen. De hagedis die je voorgeschoteld krijgt is duidelijk geen leguaanachtige, en dat enkele stoplicht in de verte was maar net te zien. Cloudflare ziet een hoop problemen met het beveiligingsmechanisme en heeft voorgesteld om het in zijn geheel te vervangen.

Captcha's zijn ontworpen om bots op websites te weren, zodat alle gebruikers menselijk zijn. Volgens Cloudflare duurt het momenteel ongeveer 32 seconden voordat een gebruiker het puzzeltje opgelost heeft. Er zijn ongeveer 4,6 miljard internetgebruikers, en de gemiddelde internetgebruiker zou ongeveer elke tien dagen één captcha tegenkomen. Dat betekent dat ongeveer 500 jaar aan productieve tijd per dag wordt verspild aan het oplossen van captcha's.

Het World Wide Web Consortium (W3C) blijkt al in 2003 kritiek op het systeem te hebben geuit. Factoren als een complexer algoritme en culturele verschillen zouden het tegenwoordig nog lastiger maken om het korte vraagstuk op te lossen. Gebruikers van kleine, mobiele apparaten worden ook benadeeld, om nog maar niet te spreken van gebruikers met een fysieke of cognitieve beperking. De softwareontwikkelaar verklaart dat elk mens in staat zou moeten kunnen bewijzen dat hij of zij mens is aan de hand van biometrische gegevens, zonder dat dit een invloed heeft op hun privacy.

Property Cloudflare Could Cloudflare Does
Get your fingerprints or face NO N/A
Know the manufacturer of your key YES - limited to the number of keys in your batch* YES
Associate a unique ID to your key YES** NO
* There must be 100,000 or more keys per batch (FIDO UAF Protocol Specification #4.1.2.1.1). However, self-signed keys and keys from certain manufacturers have been found to not meet this requirement.
**This would require that we set a separate and distinct cookie to track your key. This is antithetical to privacy on the Internet, and to the goals of this project. You can learn more about how we are removing cookies like __cfduid here.

Cloudflare heeft daarom een systeem ontworpen dat gebruikmaakt van een vingerafdruk of je gezicht. Het maakt gebruik van een fysieke 2FA-sleutel van bijvoorbeeld YubiKey, HyperFIDO of Thetis. Het cryptografisch bevestigen van je menselijkheid berust op de Web Authentication Attestation-api, die gestandaardiseerd is door de W3C en al aanwezig is in bijna alle webbrowes en besturingssystemen. Ook de authenticatie-interface moet op alle platformen gelijk zijn. Het authenticatieproces verloopt als volgt:

  • De gebruiker vraagt toegang tot een bepaalde website met de bot-bescherming;
  • Cloudflare biedt de mogelijkheid tot authenticatie;
  • De gebruiker klikt op 'ik ben een mens', er wordt gevraagd om een bepaald beveiligingsapparaat;
  • De gebruiker kiest voor een hardware security key en stopt deze in het apparaat of gebruikt nfc;
  • Een cryptografische bevestiging wordt naar Cloudflare verstuurd, na zo'n vijf seconden wordt de aanvraag bevestigd.
Ondersteunde platformen voor 'WebAuthn Attestation'
Platform Compatible Browsers
iOS 14.5 Alle browsers
Android 10 en nieuwer Chrome
Windows Alle browsers
macOS Alle browsers
Ubuntu Alle browsers

Bron: Cloudflare

« Vorig bericht Volgend bericht »
0
*