Cloudflare dice que es hora de detener CAPTCHA loco y lanza un nuevo reemplazo basado en clave

Cloudflare, que quizás conozcas como proveedor de servicios de DNS o como una empresa que te dice por qué tu sitio no se está cargando, quiere reemplazar la locura de CAPTCHA con un sistema completamente nuevo en la web.

Los CAPTCHA son pruebas que debe aprobar, a menudo al intentar acceder a un servicio, que le piden que haga clic en imágenes de elementos como autobuses, pasarelas o bicicletas para demostrar que es un ser humano. (CAPTCHA, si no lo sabía, significa «Prueba de Turing pública totalmente automatizada, excluyendo computadoras և personas»). El problema es que añaden mucha frustración al uso de Internet և a veces puede ser difícil de resolver. Estoy seguro de que no soy el único que falló el CAPTCHA por frustración porque no había visto esa esquina peatonal en una imagen.

Cloudflare dice en el blog que su objetivo es «deshacerse de los CAPTCHA por completoReemplazándolos con tu nuevo caballo para probarlo tocando o mirando el dispositivo usando un sistema llamado Identificación Criptográfica. Actualmente solo admite un número limitado Llaves de seguridad USB como YubiKeys, pero puedes probar el sistema Cloudflare ahora mismo en el sitio web de la empresa,

Lo probé, funcionó muy bien. Todo lo que tenía que hacer era hacer clic en el famoso botón «Soy humano (beta)» del sitio, luego seguir algunas instrucciones para seleccionar mi clave de seguridad, luego tocarla y permitir que el sitio ingrese la clave modelo de la marca. Cuando lo hice, el sistema me sacudió (aunque me llevó de nuevo al blog).

Todo el proceso duró unos segundos, tengo que admitirlo, fue un placer no quedarme atascado en las imágenes granulares de autobuses, objetos con forma de autobús. Y además de toda esta velocidad, este nuevo método puede tener la ventaja de una mayor accesibilidad, ya que es posible que las personas con discapacidad visual no puedan completar los CAPTCHA en su forma actual.

Aquí está la «altura del ascensor» de la empresa sobre lo que está sucediendo detrás de escena para descubrir con su nuevo método que es un ser humano.

La versión corta es que su dispositivo tiene un módulo seguro incorporado que contiene un secreto único sellado por su fabricante. El módulo de seguridad puede demostrar que posee tal secreto sin revelarlo. Cloudflare te pide una prueba և verifica la legalidad de tu fabricante.

Puedes leer una explicación mucho más amplia. blog de la empresa:,

Si bien esta es una idea intrigante, puede que no sea el final de los CAPTCHA como todavía los conocemos. Por un lado, probablemente no verá una pista en muchos lugares, ya que Cloudflare dice que esta es solo una experiencia disponible en este momento en «áreas de habla inglesa con recursos limitados». Y en su estado actual solo funciona con equipos limitados: YubiKeys, teclas HyperFIDO և teclas Thetis FIDO U2F.

Cloudflare promete «intentar agregar otros identificadores lo antes posible». Puede expandirse en su teléfono. Cloudflare ofrece la posibilidad de conectar su teléfono a su computadora para transmitir firmas inalámbricas a través de NFC. Google puede curarlo ahora ambos iPhones և Teléfonos Android como claves para la seguridad física; Si Google և Apple usara el método Cloudflare, podría reducir significativamente su barrera de acceso, ya que los teléfonos inteligentes son mucho más comunes que las llaves de seguridad.

Sin embargo, el sistema Cloudflare puede ser en realidad un peor solución, según uno de los críticos. Como Ackerman Yuri (director ejecutivo de Webauthn Works Consulting) Señala«La certificación no prueba más que un modelo de dispositivo», es decir, en realidad no prueba si la persona que usa el dispositivo para la autenticación es en realidad un ser humano.

Cloudflare en realidad lo admite en su propio blog, diciendo que el pájaro bebedor (tal) juguetes para pájaros que sumergen sus picos en agua muchas veces) puede presionar el sensor táctil en el teclado de seguridad, pasando así la prueba de identificación. Si el propósito del CAPTCHA es evitar la sobrecarga de sitios de productores de bots, es posible que deba considerar si los productores de bots con claves de seguridad falsas del jurado (o algo peor) se beneficiarán.

Nublado no siempre está relacionado positivamente Con CAPTCHA; En el último ejemplo, la empresa pasó de reCAPTCHA de Google a hCaptcha En abril de 2020, և algunas personas no eran fans:

CAPTCHA también asume que los propietarios del sitio quieren permitir tráfico relativamente anónimo, pero las identidades anónimas pueden ser inapropiadas si el sitio proporciona su verdadera identidad a través de la información de inicio de sesión que usted proporciona. Y más recientemente, ha habido un fuerte impulso para la orientación de anuncios, en gran parte debido a Apple Una nueva y enorme función de privacidad en iOS 14.5 Los usuarios preguntan si quieren permitir cada aplicación con ellos en la web, es posible que los proveedores del sitio, en cualquier caso, dirijan más tráfico a las entradas.

Aunque, por supuesto, parece haber una molestia con la que lidiar aún más entradas (que es mucho más fácil de hacer con a) Gran administrador de contraseñas!), este cambio puede tener el máximo beneficio, más bien, empujarnos hacia el futuro sin una contraseña. Si más servicios impulsan inicios de sesión directos, muchos de ellos pueden proporcionar claves de seguridad en lugar de contraseñas. Y más sitios de soporte de claves de seguridad pueden presionar a otros para que también los respalden, con la tendencia de identificación bidireccional con teléfonos.

Aunque todavía no tenemos esa contraseña en el futuro, un posible reemplazo de Cloudflare con CAPTCHA podría ser el primer paso en esa dirección.