Cloudflare está realizando pruebas con claves de seguridad para conseguir en algún momento suprimir uno de los aspectos más pesados de navegar por Internet: el Captcha. Estos sistemas que te encuentras a menudo en páginas web se utilizan para atrapar a los bots que rastrean los sitios web. Te mandan mirar imágenes divididas en cuadrados y seleccionar aquellas fracciones donde aparece un objeto concreto (coches, semáforos...).
Para destacar la cantidad de tiempo que se pierde con estas pruebas, Cloudflare dijo haber hecho cáculos al respecto. Sus conclusiones: si gastamos una media de 32 segundos para completar un Captcha, si nos toca hacer una de estas pruebas cada 10 días y en Internet hay 4.600 millones de usuarios de Internet en todo el mundo, aproximadamente se pierden "500 años humanos cada día - sólo para demostrar nuestra humanidad".
Según palabras del líder de este proyecto en contra del Captcha dentro de Cloudflare, Thibault Meunier, esto es "una locura".
La solución: claves de seguridad que demuestren que somos humanos
La idea de Cloudflare es que se puedan utilizar claves de seguridad como forma de demostrar que somos humanos. Las pruebas que realiza son de un sistema que también nos harán perder tiempo, pero se calcula que solo cinco segundos de cada vez.
Según Meunier, Cloudflare va a empezar con claves de seguridad como la gama YubiKey, las claves HyperFIDO y las claves FIDO U2F de Thetis. Son dispositivos de autenticación física como una "atestación criptográfica de la persona". Funciona de este modo. Un usuario es cuestionado en una web sobre si es humano o no. El usuario haría clic en un botón y luego se le pide que utilice un dispositivo de seguridad para demostrar su identidad.
A continuación, se conectaría una llave de seguridad de hardware en el PC (USB) o se tocaría un dispositivo móvil que puede estar conectado al ordenadores a través de NFC inalámbrico y se envía un certificado criptográfico al sitio web. Para Cloudflare, además del ahorro de tiempo, su sistema "protege la privacidad de los usuarios, ya que la atestación no está vinculada de forma exclusiva al dispositivo del usuario".
Según el Meunier, "todos los fabricantes de dispositivos en los que confía Cloudflare forman parte de la Alianza FIDO. Como tal, cada uno de estos dispositivos de hardware comparte su identificador con otros fabricadas en el mismo lote. Desde la perspectiva de Cloudflare, tu llave se parece a todas las demás llaves del lote".
La prueba que se está realizando se basa en la API de atestación de autenticación web (WebAuthn). Todos los navegadores en Ubuntu, macOS, Windows y iOS 14.5, así como Chrome en Android v.10+, son compatibles.
Se puede acceder a cloudflarechallenge.com para probar el sistema.
Ver 7 comentarios