A CloudFlare, empresa de segurança de sites e infraestrutura web com sede nos Estados Unidos, planeja eliminar CAPTCHAs em toda a web e substituí-los por um sistema de criptografia mais prático e moderno.
O CAPTCHA (Teste de Turing Público Completamente Automatizado para Separar Computadores e Humanos) é um desafio-resposta usado em um programa de computador ou sistema para determinar se o usuário é humano ou não.
De acordo com a CloudFlare, embora os CAPTCHAs melhorem a segurança dos serviços online, eles têm um custo alto aos usuários. Com base nos dados da empresa, um usuário leva em média 32 segundos para concluir um desafio CAPTCHA.
Com 4,6 bilhões de usuários globais da Internet, um usuário de Internet vê aproximadamente um CAPTCHA a cada 10 dias, o que representa cerca de 500 anos humanos desperdiçados todos os dias.
Para evitar isso, a Cloudflare quer se livrar dos CAPTCHAs com seu novo sistema de segurança chamado "Atestado Criptográfico de Personalidade".
Em comunicado em seu blog, a CloudFlare explica como funciona o atestado criptográfico de personalidade. Veja abaixo:
- O usuário acessa um site protegido por Atestado Criptográfico de Personalidade, exemplo, o "cloudflarechallenge.com";
- Ao clicar em "I am human (beta)", é solicitado uma "Configuração da chave de segurança";
- Ao concluir a configuração da chave de segurança de hardware, o usuário conecta o dispositivo ao computador ou telefone para assinatura sem fio (usando NFC);
- Um atestado criptográfico é enviado ao CloudFlare, que permite ao usuário entrar após a verificação do teste de presença do usuário.
Em testes realizados pela CloudFlare, eles levaram apenas cinco segundos e três cliques para concluir o processo. Além disso, esse desafio protege a privacidade dos usuários, já que o atestado não está vinculado exclusivamente ao dispositivo do usuário.
Atualmente, os dispositivos que são suportados na implementação inicial de testes deste novo sistema incluem YubiKeys, chaves HyperFIDO e chaves Thetis FIDO U2F. Todos fazem parte da FIDO Alliance.
Aqueles que possuem uma chave de segurança compatível e desejam testar o recurso podem fazer seguindo os passos mencionados acima.
"Impulsionar padrões de autenticação abertos como o WebAuthn há muito tempo está no centro da missão da Yubico de fornecer segurança poderosa com uma experiência de usuário agradável", disse Christopher Harrell, diretor de tecnologia da Yubico.
"Ao oferecer uma alternativa CAPTCHA por meio de um único toque apoiado pelo hardware YubiKey e criptografia de chave pública, o experimento de Atestado Criptográfico de Personalidade da CloudFlare pode ajudar a reduzir ainda mais a carga cognitiva colocada sobre os usuários conforme eles interagem com sites sob tensão ou ataque. Espero que esta experiência permita que as pessoas atinjam seus objetivos com o mínimo de atrito e forte privacidade, e que os resultados mostrem que vale a pena que outros sites considerem o uso de segurança de hardware para mais do que apenas autenticação.", acrescentou.
O atestado criptográfico de personalidade depende do atestado de autenticação da Web (WebAuthn). Esta API tem como objetivo fornecer uma interface padrão para autenticar usuários na web e usar o recurso de criptografia de seus dispositivos.
A empresa afirma que funciona em todos os navegadores iOS 14.5, Windows, macOS e Ubuntu. No entanto, para telefones com Android 10 e posterior, o recurso funciona apenas no Chrome.
É importante observar que, como o atestado criptográfico de personalidade é um projeto experimental da equipe de pesquisa do CloudFlare, ele atualmente funciona apenas em chaves de segurança USB ou NFC.
Se você deseja fornecer feedback sobre este experimento do CloudFlare, preencha o formulário Google da CloudFlare acessando https://forms.gle/HQxJtXgryg4oRL3e8
Via: CloudFlare Blog
