Cloudflare, een bedrijf dat internetdiensten ontwikkelt voor websites, is bezig met het onderzoeken of CAPTCHA’s vervangen zouden kunnen worden door veiligheidssleutels.
CAPTCHA’s worden gebruikt om ervoor te zorgen dat bots geen toegang krijgen tot een website. Ze bestaan doorgaans uit een test, waarbij bezoekers bijvoorbeeld alle auto’s of fietsen op verschillende foto’s moeten spotten.
Sleutel in plaats van CAPTCHA
De testen worden over het algemeen ervaren als een irritante en tijdrovende manier om te bewijzen dat een bezoeker geen bot is. Om te demonstreren hoe tijdrovend de testen daadwerkelijk zijn, heeft Cloudflare een berekening gemaakt. Gebaseerd op een gemiddelde testduur van 32 seconden, één test per 10 dagen en 4,6 miljard internetgebruikers wereldwijd, verspilt de mens elke dag 500 jaar aan CAPTCHA.
Cloudflare-researchengineer Thibault Meunier liet afgelopen donderdag in een blogpost weten dat het bedrijf een experiment heeft gestart om een einde te maken aan deze waanzin. Hierbij vervangt een veiligheidssleutel de CAPTCHA-test. Het bedrijf begint met vertrouwde sleutels, zoals YubiKey, HyperFIDO en Thetis FIDO U2F. In het experiment kunnen gebruikers op een knop drukken, wanneer ze op een site hun menselijkheid moeten bewijzen. Vervolgens gebruiken ze een veiligheidssleutel om cryptografische bewijs te sturen naar de website. Volgens Cloudflare zou de test niet meer dan drie klikken vereisen en gemiddeld zo’n 5 seconden duren.
Privacyvoordeel
Afgezien van een redelijke tijdbesparing, geeft Cloudflare aan dat het gebruik van sleutels ook de privacy beter beschermt. Het cryptografische bewijs is namelijk niet gekoppeld aan een bepaald apparaat. “Alle devicefabrikanten die Cloudflare vertrouwt, maken deel uit van de FIDO Alliance. Dat betekent dat elke hardwaresleutel zijn identificatie deelt met andere sleutels uit dezelfde partij. Vanuit het perspectief van Cloudflare ziet jouw sleutel eruit als alle andere sleutels in de partij.”
Geïnteresseerden kunnen het systeem uitproberen via cloudflarechallenge.com. De test maakt gebruik van de Web Authentication (WebAuthn) Attestation-api. Dat betekent dat alle browsers op Ubuntu, Windows en iOS 14.5 en Chrome op Android 10 of hoger compatibel zouden moeten zijn.
Tip: GitHub ondersteunt fysieke sleutels, wil van wachtwoorden af
23 uur geleden
