Cloudflare dice que es hora de terminar con CAPTCHA ‘Madness’, lanza un nuevo reemplazo basado en llaves de seguridad

Cloudflare, que quizás conozcas como proveedor de servicios de DNS o como una empresa que explica por qué el sitio web en el que hiciste clic no se carga, quiere reemplazar la ‘locura’ de CAPTCHA en la web con un sistema completamente nuevo.

Los CAPTCHA son aquellas pruebas que debe aprobar, a menudo cuando intenta iniciar sesión en un servicio, que requieren que haga clic en imágenes de cosas como autobuses, cruces peatonales o bicicletas para demostrar que es humano. (CAPTCHA, si no lo sabía, significa «Prueba de Turing pública completamente automatizada para separar computadoras y humanos»). El problema es que agregan mucha fricción al uso de la web y, a veces, pueden ser difíciles de realizar. – Estoy seguro de que no soy la única persona que falló frustradamente un CAPTCHA porque no vi esta esquina de un paso de peatones en un cuadro.

En un blog, Cloudflare dice que su objetivo es «deshacerse de CAPTCHA por completoReemplazándolos con una nueva forma de demostrar que eres humano tocando o mirando un dispositivo usando un sistema llamado «Atestación criptográfica de personalidad». Por el momento solo admite un número limitado Llaves de seguridad USB como YubiKeys, pero puedes probar el sistema Cloudflare por ti mismo ahora mismo en el sitio web de la empresa.

Lo probé y funcionó muy bien. Todo lo que tenía que hacer era hacer clic en el botón prominente «Soy un humano (beta)» en el sitio, luego seguir algunas instrucciones para seleccionar mi clave de seguridad, luego presionarla y luego autorizar al sitio a acceder a la marca y modelo del clave. Cuando lo hice, el sistema me devolvió el saludo (aunque me devolvió al blog).

Todo el proceso tomó unos segundos, y debo admitir que fue realmente agradable no intrigar por las imágenes granuladas de autobuses y objetos similares a autobuses. Y además de lo rápido que es todo, este nuevo método podría tener un gran beneficio de accesibilidad, ya que es posible que las personas con discapacidad visual no puedan completar los CAPTCHA en su forma actual.

Aquí está el «discurso» de la compañía sobre lo que va detrás de escena para establecer que eres humano a través de su nuevo método:

La versión corta es que su dispositivo tiene un módulo seguro incorporado que contiene un secreto único sellado por su fabricante. El módulo de seguridad puede demostrar que tiene tal secreto sin revelarlo. Cloudflare le solicita pruebas y verifica que su fabricante sea legítimo.

Puede leer una explicación mucho más detallada en el blog de la empresa.

Si bien esta es una idea intrigante, puede que no sea el final de los CAPTCHA como los conocemos en este momento. Por un lado, probablemente no verá el mensaje en muchos lugares, ya que Cloudflare dice que es solo una experiencia en este momento, disponible «de manera limitada en las regiones de habla inglesa». Y en su estado actual, solo funciona con un conjunto limitado de hardware: YubiKeys, claves HyperFIDO y claves Thetis FIDO U2F.

Cloudflare promete que «considerará agregar más autenticadores lo antes posible». Esto posiblemente podría extenderse a su teléfono: Cloudflare sugiere la posibilidad de colocar un teléfono en su computadora para transmitir una firma de forma inalámbrica mediante NFC. Google ahora puede procesar ambos iPhones y teléfonos Android como llaves de seguridad físicas; Si Google y Apple se adhirieran al método Cloudflare, podría reducir significativamente la barrera de entrada para usarlo, ya que los teléfonos inteligentes son mucho más comunes que las llaves de seguridad.

Sin embargo, el sistema de Cloudflare puede ser de hecho un peor solución, según un revisor. Como Ackermann Yuriy (director ejecutivo de la consultora Webauthn Works) Señala, “La certificación no prueba nada más que el modelo del dispositivo”, lo que significa que en realidad no prueba si alguien que usa un dispositivo para la autenticación es en realidad un ser humano.

Cloudflare esencialmente admite esto él mismo en su propio blog, afirmando que un pájaro bebedor (estos juguetes para pájaros que sumergen repetidamente sus picos en el agua) podría presionar un sensor táctil en una llave de seguridad, pasando así la prueba de autenticación. Si el propósito de los CAPTCHA es evitar que las granjas de robots abrumen a los sitios web, es posible que tengamos que preguntarnos si las granjas de robots con dispositivos de clave de seguridad manipulados por jurado (o algo peor) se beneficiarán.

Cloudflare no siempre está asociado positivamente con CAPTCHA; en un ejemplo reciente, la empresa pasó de reCAPTCHA de Google a un servicio de hCaptcha en abril de 2020y algunas personas no eran fans:

Los CAPTCHA también asumen que los propietarios de sitios web desean permitir un tráfico relativamente anónimo, pero la identidad anónima puede no ser relevante si un sitio web tiene su identidad real gracias a la información de inicio de sesión que proporcionó. Y con el reciente impulso contra la segmentación de anuncios, impulsado en gran parte por Apple gran nueva función de privacidad en iOS 14.5 que pregunta a los usuarios si quieren que cada aplicación los rastree en la web, es posible que los proveedores de sitios web se estén moviendo más hacia los inicios de sesión de todos modos.

Aunque ciertamente parece un problema que hay que gestionar todavía más conexiones (que es mucho más fácil de hacer con un excelente administrador de contraseñas!), este cambio podría, contraintuitivamente, tener el beneficio potencial de empujarnos incluso antes hacia un futuro sin contraseñas. Si más servicios presionan por conexiones directas, podría llevar a que más de ellos admitan claves de seguridad en lugar de una contraseña. Y más sitios que admiten claves de seguridad pueden presionar a otros para que también los admitan, como la tendencia que estamos viendo hacia la autenticación de dos factores con teléfonos.

Si bien aún no estamos en ese futuro sin una contraseña, el posible reemplazo de Cloudflare por CAPTCHA podría ser un primer paso en esa dirección.