Sicurezza

Cloudflare dice basta ai test CAPTCHA: “selezionare le immagini è frustrante”

Cloudflare ha lanciato una campagna per, come afferma l’azienda, “porre fine alla follia” dei CAPTCHA. Secondo la società i test che invitano gli utenti a identificare determinate immagini al fine di confermare di non essere dei bot sono troppo lunghi, frustranti e funzionano male sui dispositivi mobili. Come alternativa Cloudflare ha proposto di utilizzare un dongle da inserire nei PC e dotato di NFC per funzionare anche con gli smartphone, che in soli cinque secondi permette di identificarsi come essere umano.

Photo: Cloudflare
Chiave di sicurezza hardware

“Seleziona tutte le immagini contenti una bici, le strisce pedonali, i semafori.” Tutti noi almeno una volta nella vita abbiamo dovuto superare un test CAPTCHA per affermare di non essere dei bot. Secondo Cloudflare questo metodo è frustrante, non è ottimale per i dispositivi mobili e presume una conoscenza culturale degli oggetti mostrati. Inoltre richiede alcune capacità fisiche e cognitive che non tutti gli utenti possiedono e ogni test richiede circa 32 secondi del nostro tempo.

L’ingegnere ricercatore di Cloudflare, Thibault Meunier, ha ipotizzato che un utente medio che naviga su internet vede un CAPTCHA ogni dieci giorni. Moltiplicando questo per i 4,6 miliardi di utenti aventi accesso a internet, la stima di completamento di 32 secondi a persona porta l’azienda ad affermare che l’umanità trascorre collettivamente 500 anni ogni giorno a completare i CAPTCHA. Un dato sconcertante.

L’alternativa proposta da Cloudflare è un “Attestato Crittografico della Personalità” (Cryptographic Attestation of Personhood) che funziona come segue:

  • l’utente accede al sito web protetto dal Cryptographic Attestation of Personhood;
  • il sito propone il test per verificare di non essere un bot;
  • l’utente fa click su “sono umano” e gli viene richiesto di utilizzare il suo dispositivo di sicurezza;
  • l’utente utilizza una chiave di sicurezza hardware, quindi collega il dispositivo al computer oppure – se sta utilizzando un dispositivo mobile – seleziona la modalità wireless e utilizza la tecnologia NFC avvicinando il dispositivo al suo smartphone;
  • l’attestazione crittografica viene inviata e l’utente può quindi accedere al sito, superando il test di verifica.

Cloudflare inizialmente supporterà tre Hardware Security Key: YubiKeys – che potete trovare su Amazon -, HyperFIDO e Thetis FIDO U2F.

“Il completamento della verifica con questo metodo richiede cinque secondi” afferma Meunier in un post sul blog di Cloudflare. “Ancora più importante, questa sfida protegge la privacy degli utenti, poiché la verifica non è collegata in modo univoco al dispositivo dell’utente”.

L’azienda, sempre nel post, cita anche la possibilità futura di utilizzare gli smartphone al posto delle chiavi fisiche di sicurezza, ma non aggiunge ulteriori dettagli. È facile ipotizzare che sia possibile verificare di non essere dei bot utilizzando il sensore delle impronte digitali o il riconoscimento facciale.