Cloudflare bez CAPTCHA

Wszystko zaczęło się od tego wpisu na blogu. W skrócie: Cloudflare chce zlikwidować CAPTCHA i zastąpić ją kluczami U2F.

Pomysł wydaje się ciekawy, bo wady CAPTCHA są znane. Zupełnie zgadzam się z tym, że i jest ona do obejścia, jeśli komuś zależy, i jest ona niewygodna. O tym ostatnim można przekonać się samodzielnie pisząc komentarz na tym blogu. Niedawno zmieniłem na blogu CAPTCHA na hCaptcha, z którego aktualnie korzysta Cloudflare.

Czy jednak rozwiązanie proponowane przez Cloudflare mające zapewnić internet bez CAPTCHA się przyjmie? Szczerze wątpię. Z punktu widzenia producentów kluczy U2F pomysł jest świetny. Ma też inną zaletę dla bezpieczeństwa w sieci. Może bowiem doprowadzić także do popularyzacji kluczy U2F i spadku ich cen. Kolejność dowolna.

Jednak automatyzacja, nawet mierna, w postaci jednej płytki SoC z ARM i wpiętego jednego klucza wydaje mi się niedocenianym zagrożeniem. Owszem, na blogu jest poruszone rozwiązanie z pijącym ptakiem, ale tego typu zagrożenie wydaje mi się niedoceniane.

Rozwiązanie nie musi być mechaniczne, co zwiększy jego niezawodność. Czy da się wpiąć wiele kluczy i korzystać z nich rotacyjnie? Zapewne będą takie próby. A może powstaną farmy pojedyncza tanich płytek z jednym kluczem? Zobaczymy. W tej chwili podobno serwisy rozwiązujące CAPTCHA zatrudniają ludzi w krajach o bardzo niskich wynagrodzeniach. Trochę nie wierzę, że płytka nie będzie tańsza.

Widzę też pewne zagrożenie dla prywatności, mimo zapewnień. Fizyczny, więc raczej trudny do wymiany identyfikator, nawet jeden z partii minimum 100 tys.? No niezupełnie dobrze to wygląda. Oczywiście nie pozwoli ustalić tożsamości użytkownika, ale czy zapobiegnie identyfikacji, że to ta sama osoba?

Niemniej pomysł uważam za ciekawy i będę śledził jego dalsze losy. Obecne CAPTCHA też są „łamalne”, a skoro nie będzie bez automatów, to może chociaż będzie wygodniej?

5 odpowiedzi do “Cloudflare bez CAPTCHA”

  1. Zastanawia mnie też skąd pomysł, że spamerom jest w ogóle do czegoś potrzebny sprzętowy klucz. O ile nie pominąłem czegoś bardzo istotnego czytając o U2F, to jest to zwykły podpis cyfrowy, który można sobie wygenerować programowo – czy to w postaci programu na mikrokontrolerze (search: teensy-u2f) czy modułu w kernelu (search: softfido).

    Żaden tekst który czytałem o tym wynalazku od Cloudflare nie poruszał tego problemu, to aż dziwne.

    1. Jest w linkowanym wpisie w sekcji „privacy first”. Wystarczy, że będą ufać tylko podpisom od określonych producentów i… musisz mieć fizyczny klucz od tego producenta. Chyba, że zakładamy łamanie crypto. Ale tu w grę wejdzie unieważnianie certyfikatów.

      1. Okej, nie miałem pojęcia że U2F zakłada podpisywanie wszystkiego dodatkowo kluczem wspólnym dla partii kluczy. To trochę porażka, standard stworzony od razu z monopolizacją w komplecie.

        1. Też trochę się zdziwiłem, ale wydaje mi się, że to tylko opcja, do niektórych zastosowań. Samodzielne wykonanie kluczy też jest możliwe, ale jak widać nie będą się one nadawały do wszystkich zastosowań. Ogólnie przydałoby się kiedyś przysiąść i przestudiować cały standard U2F…

  2. Tak jeszcze w temacie prywatności. U2F przewiduje że w tokenie może być wiele kluczy, teoretycznie – dla każdej strony może być osobna para kluczy / tożsamość. W praktyce, wiadomo – pojemność jest skończona – yubikey 5 ma pojemnośc 25 kluczy które wg jakiegoś tam algorytmu przypisuje do stron. Można też wygenerować klucz od nowa. https://developers.yubico.com/U2F/Protocol_details/Key_generation.html

    Inna sprawa, że komu by się chciało generować klucze za każdym razem po czyszczeniu ciastek.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *