米国に本拠を置く Web インフラストラクチャおよび Web サイト セキュリティ会社 Cloudflare Inc. は、Web 上の CAPTCHA を廃止し、まったく新しいシステムに置き換えたいと考えています。
知らない人のために説明すると、CAPTCHA (「コンピュータと人間を区別するための完全に自動化された公開チューリング テスト」) は、ユーザーが人間であるかどうかを判断するためにコンピュータ プログラムまたはシステムで使用されるチャレンジ レスポンス テストの一種です。
Cloudflare によると、CAPTCHA はオンライン サービスのセキュリティを強化しますが、それに伴う非常に現実的なコストが発生します。
同社のデータによると、ユーザーが CAPTCHA チャレンジを完了するまでに平均 32 秒かかります。
世界のインターネット ユーザーは 46 億人で、一般的なインターネット ユーザーは 10 日に約 1 件の CAPTCHA を目にします。これは、毎日約 500 人間年を無駄にしていることになります。
これを回避するために、Cloudflareは「Cryptographic Attestation of Personalhood」と呼ばれる新しいセキュリティシステムでCAPTCHAを排除したいと考えています。
最近ではブログ投稿, Cloudflareは、暗号による本人認証がどのように機能するかを次のように説明しています。
- ユーザーは、次のような暗号的個人認証によって保護された Web サイトにアクセスします。コム。
- Cloudflare は課題に応えます。
- ユーザーが [私は人間です (ベータ版)] をクリックすると、セキュリティ デバイスの入力を求められます。
- ユーザーはハードウェア セキュリティ キーの使用を決定します。
- ユーザーはデバイスをコンピュータに接続するか、携帯電話にタップしてワイヤレス署名を行います (NFC を使用)。
- 暗号化証明書が Cloudflare に送信され、ユーザーは、ユーザー存在テスト。
Cloudflareがこのフローをテストしたとき、完了するまでにわずか5秒と3回のクリックしかかかりませんでした。さらに重要なのは、証明書がユーザー デバイスに一意にリンクされていないため、この課題によりユーザーのプライバシーが保護されることです。
現在、Cloudflareが信頼するすべてのデバイスメーカーはFIDO Allianceに参加しています。初期ロールアウトでサポートされるデバイスには、YubiKeys、HyperFIDO キー、および Thetis FIDO U2F キーが含まれます。
互換性のあるセキュリティ キーをお持ちで、機能をテストしたい場合は、テストしてください。このウェブサイトから。
「WebAuthn のようなオープン認証標準の推進は、快適なユーザー エクスペリエンスを備えた強力なセキュリティを提供するという Yubico の使命の中心に長年ありました」と Yubico の最高技術責任者、Christopher Harrell は述べています。
「YubiKeyハードウェアと公開鍵暗号化を利用したシングルタッチによるCAPTCHAの代替手段を提供することで、Cloudflareの暗号による本人認証実験は、緊張や攻撃を受けているサイトと対話する際にユーザーにかかる認知的負荷をさらに軽減するのに役立つ可能性がある。
この実験により、人々が最小限の摩擦と強力なプライバシーで目標を達成できるようになり、他のサイトが認証以外にもハードウェア セキュリティの使用を検討する価値があることが結果によって示されることを願っています。」

暗号による本人認証は以下に依存します。Web 認証 (WebAuthn) アテステーション。この API は、Web 上でユーザーを認証し、デバイスの暗号化機能を使用するための標準インターフェイスを提供することを目的としています。
同社によれば、iOS 14.5、Windows、macOS、Ubuntuのすべてのブラウザで動作するという。ただし、Android 10 以降を実行している携帯電話の場合、この機能は Chrome で動作します。
Cryptographic Attestation of Personalhood は Cloudflare 研究チームによる実験プロジェクトであるため、現時点では USB または NFC セキュリティ キーでのみ機能することに注意することが重要です。
暗号による本人認証についてフィードバックを提供したい場合は、Cloudflare の Google フォームに記入してください。https://forms.gle/HQxJtXgryg4oRL3e8。