證明自己不是機器人太麻煩?Cloudfare 欲以硬體 USB 金鑰取代 CAPTCHA 驗證碼
CAPTCHA 驗證碼令人討厭,許多人都認為是當代網路最糟糕的安全設計之一。然而此功能對避免線上服務受常見機器人與垃圾郵件疑慮侵擾卻很重要。為了找到中庸之道,Cloudflare 正在探索透過硬體安全金鑰當成你是人類而非機器人有效證明的可行機制。
據 Cloudflare 的統計,每位使用者至少要耗費 32 秒才能完成 CAPTCHA 驗證。假設使用者每 10 天遇到一次驗證碼,那麼每天約浪費 500 人年(Human Year)。為了避免這種情況,提出所謂「Cryptographic Attestation of Personhood」加密驗證方案。
最新官方部落格貼文,Cloudflare 詳細介紹工作原理。使用者可在支援該機制的網站點擊「我是人類」提示後,插入硬體安全金鑰。過了不久,系統會將加密驗證發送到 Cloudflare 並驗證使用者是真人。
當 Cloudflare 測試流程,只花 5 秒鐘並點擊 3 次。Cloudflare 表示,使用者不需擔心會什麼隱私問題,因為驗證並不會與使用者的裝置相連結。目前允許使用者可選擇隸屬 FIDO 聯盟的安全金鑰製造商。首次推出所支援的裝置包括 YubiKey、HyperFIDO 和 FIDO U2F 等 USB Key 金鑰。如果你有相容安全金鑰裝置,可進入 Cloudflare 網站測試。
「透過 YubiKey 硬體和公鑰加密技術支援的單點觸控提供 CAPTCHA 驗證碼替代方案,Cloudflare Cryptographic Attestation of Personhood 實作可以幫助使用者在與面臨重負與攻擊下之網站互動時,能進一步降低他們的認知負荷。」Yubico 技術長 Christopher Harrell 表示。
Cloudflare Cryptographic Attestation of Personhood 方案適用於支援 Web 身分驗證 API 的裝置。方案可在 Windows、macOS、Ubuntu 和 iOS 14.5 等作業系統所有瀏覽器使用。Android 方面,適用運行 Android 10 及更高版本的 Chrome 瀏覽器。
(首圖來源:Cloudflare)