Рубрика развивается при поддержке HP logo intel logo Advertisement

Cloudflare намерена избавиться от CAPTCHA, внедрив систему криптографической аттестации Статьи редакции

Для прохождения теста потребуется не более трёх щелчков мыши.

По информации Cloudflare, человечество тратит сотни лет на прохождение автоматизированного компьютерного теста CAPTCHA ежедневно. В компании намерены положить этому конец и представили новую систему аутентификации пользователей на основе криптографии.

Cloudflare — американская компания, которая занимается инфраструктурой и безопасностью веб-сайтов. Она предоставляет услуги CDN, серверы DNS и защиту от DDoS-атак.

Согласно исследованиям, на выполнение задачи CAPTCHA у пользователя в среднем уходит 32 секунды. Во всём мире насчитывается 4,6 миллиарда абонентов интернета, и если предположить, что типичный пользователь сталкивается с «капчей» каждые 10 суток, то человечество тратит на её решение более 500 лет ежедневно.

Сегодня мы запускаем эксперимент, чтобы положить конец этому безумию. Мы хотим полностью избавиться от CAPTCHA. Идея довольно проста: человек смотрит или прикасается к своему устройству, доказывая что он человек, при этом не раскрывая своей личности. Вы спросите, возможно ли это вообще? И ответ: да! Мы начинаем с надёжных USB-ключей, которые существуют уже некоторое время. Телефоны и компьютеры всё чаще оснащаются этой технологией по умолчанию.

Тибо Менье
Инженер-исследователь Cloudflare

Cloudflare запустила криптографическую аттестацию личности, которая основана на стандарте WebAuthn. Разработчики утверждают, что она занимает всего 5 секунд и требует не более трёх щелчков мыши. Внедрять систему компания планирует с помощью аппаратных USB-ключей, таких как YubiKey, HyperFIDO и Thetis FIDO U2F.

Такие ключи имеют встроенный модуль безопасности, содержащий уникальные данные от производителя. При запросе Cloudflare, модуль способен доказать, что владеет уникальной информацией, не раскрывая её напрямую — используется механизм доказательства с нулевым разглашением (Zero-knowledge proof).

Отмечается, что разработка велась с учётом пользовательского подхода, но при сохранении высокого уровня защиты интернет-ресурсов. Ключевым пунктом остаётся конфиденциальность, поскольку аттестация однозначно не связана с пользовательским устройством и не собирает никаких биометрических данных.

В 2020 году Cloudflare перешла на hCAPTCHA после того, как Google объявила, что начнёт взимать плату за reCAPTCHA. Новую систему аутентификации без «капчи» уже можно опробовать на официальном сайте.

{ "author_name": "Виталий Рассказов", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u0438","cloudflare","captcha"], "comments": 166, "likes": 87, "favorites": 28, "is_advertisement": false, "subsite_label": "hard", "id": 734645, "is_wide": false, "is_ugc": false, "date": "Mon, 17 May 2021 12:58:01 +0300", "is_special": false }
Advertisement
0
166 комментариев
Популярные
По порядку
Написать комментарий...
177

 Согласно исследованиям, на выполнение задачи CAPTCHA у пользователя в среднем уходит 32 секунды

Скажите это гениям из Epic Games

Ответить
115

Поверните жабу так, чтобы она сочеталась с гадюкой)

Ответить
33

Поверните жабу так, чтобы гадюке было удобно.

Ответить
32

Я у рокстар капчу ввести, минут 7 потратил на эти ебучие кубики

Ответить
13

Это тебе еще повезло, я два часа на эти кубики потратил...

Ответить

Криминальный

Ростисл…
63

Вот и поиграл.

Ответить
13

И время возврата игры прошло. Удобно!

Ответить
0

Странно почему гта онлайн непосредственно не начинается с капчи.

Ответить
15

На моей памяти всратые капчи начали появляется после котиков у Рапидшары (аж олдскулы свело). Мало того что они были всратые сами по себе, так еще и работали так, что одному Аллаху было по силам её правильно решить.

Ответить
3

Ещё была прога для автоматизированной скачки с рапиды, то там другим пользователям посылалась твоя капча и они её разгадывали, и ты сам мог кому-нибудь помочь и посидеть, поразгадывать задания.

Ответить
3

А ведь действительно было такое :) Первая сеть по взлому капч. У меня тогда еще пузатый элт-монитор был на котором вообще не разобрать было этих котов, нервов тогда они попортили много кому.

Ответить
0

Щас платишь 2-3 бакса на 1000 каптч и за тебя все заполняют

Ответить
1

эх, верните мне мой 2006. фанкисулс с загрузками альбомов на рапидшар и айфолдер...

Ответить
3

О, я помню, как у них эта херня сломалась и я не мог пройти проверку, как бы быстро не вращал картинки.

Ответить
0

У яндекса при создании почты, иногда, происходит какой-то баг, при котором даже правильные ответы капчи отмечаются неверными.

Ответить

Задний хот-дог

roflanebalo
0

Что это за существо с клешнями? 

Ответить
0

Ни разу не попадал на это капчу. Что с вами не так?

Ответить
0

Я попадал, прошел с первого раза

Ответить
0

Это еще ладно, там есть и лабиринты

Ответить
0

Многих эта жаба давит, и никто там ничего не покупает 

Ответить
0

Зачем? Подождать и бесплатно раздадут.

Ответить
0

Это ещё ладно. Вот у EA их ебанутая капча с корявым переводом на русский, из-за которой я 10 минут в полном ахуе сидел, когда в арех решил поиграть. Кто понял тот понял.

Ответить
0

Какой магазин — такие и капчи.

Ответить
144

Как же ненавижу реализацию от hCaptcha.
И версию, где выбранное мееееееееедленно исчезает и появляется новое.

Ответить
26

Так у reCaptcha тоже самое, если её доебать.

Ответить
41

Так эту даже доябывать не нужно, она всегда такая.

Ответить
1

да вроде нет

Ответить
0

Значит не любит она меня.

Ответить
7

И меня. Рекапча хотя бы иногда узнавала сама и пропускала вообще после клика на бокс. Эта всегда одинаково бесит(

Ответить
0

У меня только на мобильных устройствах такой эффект, на компе норм

Ответить
6

Ъуъ блеа, я последнее время как вижу её, сразу закрываю сайт. Типа - да не очень-то и хотелось... Никаких нервов не хватит её проходить.

Ответить
2

У GOG'a именно такая, сук забыл пароль и сгорел пока эту сраную капчу проходил, причём блять в лаунчере на пк

Ответить
2

Зато учит терпению и внимательности, что как никогда важно в наш быстрый век интернета.

Ответить
1

Ставят hcaptchу в том числе потому что, что и 2 и 3 рекапча спокойно обходится ботами, а с hкаптчей проблемы, и её автоматически сложно обойти

Ответить
3

Вручную тоже

Ответить

Криминальный фонарь

TopoR
0

Просто закрой сайт и найди другой.

Ответить

Криминальный

TopoR
0

Тогда радуйся, как тебя кормят говном.

Ответить
0

2, 5, 7, 8 и 9, очевидно же.

Ответить
0

Тоже раньше не понимал как работает эта (исчезающая) капча, пока в один прекрасный момент не осенило, что правильным ее решением будет отсутствие картинок, соответствующих надписи, т.е. в данном случае щелкаем пока не пропадут все лодки =)

Ответить
0

Да это как раз понятно мне, исчезает очень долго (и иногда до 3-4 итераций попадалось)

Ответить
0

Ну таких "длинных" у меня не было, по крайней мере после того как разгадал ее "тайный" смысл, но... в целом, давно уже понял, что капчи живут в какой-то параллельной вселенной и не всегда поддаются нашей логике =)

Ответить
0

Я наоборот рад когда её вижу, всё срабатывает с первого раза, не то что в гугловской.

Ответить
89
Ответить
27

О, эти постепенно долго исчезающие картинки тоже жгли мне пердак, но они появляются редко, их точно придумывал больной ублюдок, и не понятно зачем они вообще нужны, если они далеко не везде используются.

Ответить
–3

? Подожди что - картинки исчезают?!

Ответить
1

Ну в видео начиная с 0:07

Ответить
0

Это такая доп защита от ботов. Она появляется, если вы попали в список подозрительных, а если седите за NAT, что скорее всего, то можно из-за соседей улететь. А вообще рекомендую поставить себе buster.

Ответить
5

в голосяндру

Ответить
1

Нас не обманешь хитрый Вобат!

Ответить
97

Вообще в последнее время капча доебала уже.
Уже невозможно искать лодки, велосипеды и еще какую ерунду из бесконечно подгружающегося списка.

Ответить
58

Иной раз и не поймешь где блять велосипед, а где мотоцикл

Ответить
23

Попросите кожаного ублюдка обучить вас на еще большем к-ве фотографий, и не палитесь тут так сильно!

Ответить
0

я тупо члены рисую, а потом стараюсь выйти, не знаю что у вас там за проблемы.

Ответить
0

А у тебя ключ-то есть?

Ответить
0

Там без ключа, авторизация по пинкоду винды в моем случае.

Ответить
0

Не, ключ нужен именно. Просто они используют общий API Windows Hello. Если блог пост почитать оригинальный, то доверяют они только Yubikey и ещё паре производителей.

Суть ведь каптчи в том, чтобы её нельзя было обойти программно (роботом). Поэтому Cloudflare придумали использовать специальный ключ, который нельзя автоматизировать, потому что они в обязательном порядке требуют прикосновение + их скорость работы сильно ограничена (то есть даже если придумать "нажималку на кнопку", то она упрется в скорость работы ключа).

Ответить
0

окей
Значит я не разобрался. А жаль, замена капчи авторизацией на устройстве идеальный вариант.

Ответить
0

Сейчас в девайсы некоторые встраивают подобные токены, возможно потом Cloudflare будет вносить их в белый список разрешенных устройств.

Ответить
0

Ага, а потом по счастливой случайности токен твоего девайса попадёт в чс и все :)

Ответить
0

Если читать блог пост, то там используется zero-knowledge proof. То есть вся эта байда просто подтверждает, что у тебя брелок реально произведен одобренной компанией. ID твоего брелка никуда не заносят.

Ответить
0

*звуки скептицизма*

Ответить
0

С одной стороны да. С другой стороны всё описание поста именно об этом.

Ответить
0

а разве это не обижает инвалидов?

Ответить
47

человечество тратит на её решение более 500 лет ежедневно.

В капчу надо добавлять все нерешённые человечеством задачи. Глядишь ради входа в EGS кто-то и решит

Ответить
9

Ради игры в фортнайт после школы

Ответить

Пестрый завод

Абрахам
8

школьников можно к егэ так подтянуть

Ответить
3

Помню на каком-то сервере майнкрафта (ттюх, кажется) требовалось одно время найти интеграл или что-то типа для регистрации, было забавно. Ценз по возрасту (и уму, в моем случае).

Ответить

Пестрый завод

Johnny
–1

Красиво, жаль, что онлайн-сервисы для решения сильно облегчают жизнь

Ответить
1

"...облегчают..."

Ответить

Пестрый завод

o
0

Ну для реги на серваке, конечно же, для универа все несколько иначе

Ответить
0

Даже не знаю - если бы в сидже для игры нужно было бы решать интегралы - я бы стал лучшим учеником в классе

Ответить
28

Ахахах блять
Они заново придумали USB-ключи, когда другие от них избавляются

Ответить
0

Как избавляются? А ЭЦП где хранить?

Ответить
14

Чипироваться)

Ответить
–1

А если ЭЦП на организацию выдана, кому надо чипироваться, гендиректору? А как потом использовать если нет интерфейса для считывания чипа?

Ответить
1

А если серьезно, то где это уместно, можно продолжать использовать.
Но не для прохождения же капчи USB разъем теребить 100 раз на день
Даже Steinberg отказываются от своей флешки. А это уровень конечно

Ответить
5

Это токены нового поколения, их поддерджка в браузерах появилась буквально пару лет назад.

Из отличительных особенностей: работают в любом современном браузере из коробки, помимо USB поддерживают NFC в случае со смартфонами.

Обычно используются как второй фактор на важных ресурсах. Уже лет 5 как можно включить их требование на сайтах Google, Facebook и кучи других.

Ещё можно эти токены включать в устройство и завязывать их на работу с сенсором отпечатка пальца.

Так что не хороните раньше времени, в теории это технология, которая может избавить нас от паролей вообще. Стандарт FIDO2 поддерживает passwordless вход.

Ответить

Добровольный яд

Savely
0

А потом ты теряешь брелок или он ломается. И всё.

Ответить
0

Для этого всегда советуют брать два. Один дома в шкафу, другой на брелке :)

Ответить
1

гендиректору

Зачем, если есть секретарша?)
А как потом использовать

Ответить
2

Есть облачные решения. Но есть но, сервис/коннект падает, ты сосёшь бибу.

Ответить
2

В смысле "избавляются"? В пользу чего?
Более-менее сравнимый (лучше логин+пароля) уровень безопасности будет только у OTP-генератора (не смс), пусть даже на мобильнике, но это ж надо открывать мобильник, считывать и набирать код

А этот сунул в юсб порт и все, можно логиниться во все, что поддерживает, можно ставить эцп и так далее

Ответить
1

Самое забавное, что словно ботоводы не смогут эти ти ключи использовать. Ну мы-то знаем правду.

Ответить
25

Мы начинаем с надёжных USB-ключей, которые существуют уже некоторое время. Телефоны и компьютеры всё чаще оснащаются этой технологией по умолчанию.

Внедрять систему компания планирует с помощью аппаратных USB-ключей, таких как YubiKey, HyperFIDO и Thetis FIDO U2F.

Совсем там ёбнулись? Все идут по пути отказа от дополнительных дивайсов в пользу программных решений, банки избавляются от аппаратных генераторов кодов, биометрические системы в смартфонах замещают собой другие способы аутентификации, все идет по пути разработки наиболее незаметных и удобных для пользователя процессов... а эти гении всерьез решили в 2021 продвигать USB-ключи, как альтернативу капче? 

Идея обречена на "успех", конечно, ага.

Ответить

Ценный супер_стар

Ярослав
4

Я вообще слабо себе представляю как достать этот USB-ключ обычному Ваньке из Новоебенёво. Если это решение, конечно, не для крупных корпоративных клиентов.

Ответить
1

биометрия - это еще большая проблема, отпечаток пальца ты не заменишь в случае подделки.

Ответить
0

Не знаю зачем гнать на аппаратные ключи, это топ тема для тех кому нужна безопасность. Рекомендую SoloKeys всем и каждому.

Ответить
23

Ну здравствуй обязателеная цифровая подпись, одно из ебанутых решений гов отдела/

Ответить
1

Еее международный обмен опытом

Ответить
13

А Гугл неплохо устроился, учит рекапчей свои нейросети и ещё деньги за это просит. Вообще не совсем понятно, почему нужно именно доказательство уникальности пользователя, не достаточно было бы просто дать ему задачку секунд на пять работы процессора? Один запрос раз в пять секунд с устройства почти полностью снял бы нагрузку в случае ддоса, для конечного пользователя это было бу намного удобнее капчи, а клаудфэр мог бы на этом ещё и заработать дополнительно что-то.

Ответить

Положительный Филипп

Ivan
31

Майнер вместо капчи?

Ответить
2

Кроме шуток, а почему нет? Ну то есть окей, с точки зрения пиара лучше было бы отправлять какие-то куски folding at home валидировать, но вообще путь хоть большие числа в произведение двух простых раскладывают (это, кажется, наименее затратный способ с точки зрения проверки правильности вычислений)

Ответить

Положительный

Ivan
6

Боты это проблема площадок, а не добропорядочных пользователей. У адекватных сервисов капча возникает только в случае подозрения на бота, но стоит внедрить подобное решение, как начнутся повальные злоупотребления и "подозрения" начнут возникать к каждому пользователю на каждый чих - уж больно велик соблазн, ведь даже тысячная доля цента с пользователя в день без каких-либо трудозатрат, помноженная на миллионы пользователей это уже вполне осязаемый доход.

Ответить
0

Тут ведь как - даже вот такая штука, которая лучше капчи, это всё равно неудобство для пользователей. Если клаудфэр начнет этим злоупотреблять - это не понравится сайтам и продажи клаудфэра поползут вниз. 

Ответить

Положительный

Ivan
4

Так она не лучше и не хуже, она просто другая) Лучшее решение это то, которое не затрагивает добропорядочных пользователей. Когда надо отследить пользователя чтобы показать ему рекламу, чего только не придумают для создания и сопоставления отпечатка, а как авторизацию провести, которая напрямую в продажи не конвертируется, фантазия почему-то иссякает...

Ответить
0

Дада, я помнил про него именно в разрезе контроля спама и мне показалось, что его можно разумно использовать и для контроля ддоса тоже.

Ответить
17

при этом не раскрывая своей личности

Я чёт не понял... те гидранты которые я выбирал раскрывали всю подноготную моей семьи и выдавала фотки кредиток с обеих сторон в общий доступ?

Ответить
0

Речь про альтернативные способы доказать что ты не бот, через которые можно понять что доступ на разные сайты был произведен одним и тем же человеком - логин/пароль, уникальный идентификатор устройства, токен и т.д.

Ответить
0

косвенно кстати да.

Ответить
14

Вам не нужно больше вводить капчу. Просто держите паспорт постоянно раскрытым перед вебкамерой. Ваш товарищ майор.

Ответить
1

прости майор, но мне тогда дрочить нечем. 

Ответить

Магнитный якорь

13
Ответить
10

Я только сегодня узнал, что оказывается reCaptcha гугла платная для сервисов.

Ответить
7

А они там со своим чипированием уже совсем ничего не боятся.

Ответить
7

ну так к массовому распостранению вышек 5g нужно наладить индустрию. Иначе зачем это все затевалось?

Ответить
2

А я думал, что 5g нужна была, чтобы заразить всех коронавирусом

Ответить
0

Дурачек. 5g вышки нужны, чтобы управлять вживленными чипами. Заражение короной через вышки лишь одна из функций. В будущих обновлениях можно будет еще Гейтскоин майнить.

Ответить

Минимальный

AlexKni…
0

заражение короной нужно, чтобы люди пошли прививаться вакциной с наночипами, которыми рептилоиды будут управлять через 5G-вышки, вот как все на самом деле.

Ответить
0

Все так. Но 5g вышки нужны, чтобы для заражения короной можно было нажать кнопку, а не заставлять очередного китайца жрать всякую непотребщину ибо накладно и дает не 100% результат.

Ответить
7

Да уж проще обычная капча, чем юсб ключ во времена ноутов с 2 юсб портами, в одном из которых 100% мышка, а во втором /что угодно еще/

Ответить
6

Та не, спс, думайте дальше.

Ответить
–1

Решение будущего это сканеры отпечатка пальцев на всех устройствах, со смартами и частью ноутбуков уже нет проблем, а вот сканеры в клавы для ПК надо бы встраивать еще. 

Ответить
9

а вот сканеры в клавы для ПК надо бы встраивать еще.

Нет, не надо

Ответить
0

А адекватные причины почему нет будут?

Ответить
15

Зачем мне ещё одна обязательная биометрическая хуйня привязанная ко всем аккам? Чтобы в Свитторе хентай художников только с одобрения РКН смотреть? 

Ответить

Ценный

Vandgory
2

Бигброзер ватч ю.
А если серьёзно, то удорожание конструкции. Но я бы тоже не отказался, на смартфонах дико удобная вещь. А кому не надо, то может и не пользоваться.

Ответить
0

Надо
Удобно и безопасно разблокировать ПК/оплатить заказ через Google Pay.
Можно забить на пароли и они будут в браузере, ты знай палец прикладывай

Ответить
3

Не, не надо
Дополнительная биометрия для таща майора идёт нахуй 

Ответить
0

Типа твоей биометрии нет сейчас нигде? Ты в Москву заезжал хоть раз? Поздравляю, твое ебало изучили вдоль и поперек, больше биометрии им и не надо

Ответить
0

Типа твоей биометрии нет сейчас нигде?

У таща майора точно нет
Ты в Москву заезжал хоть раз?

Нет
Поздравляю, твое ебало изучили вдоль и поперек, больше биометрии им и не надо

Да пусть хоть заизучаются, связать это какими-то аккаунтами не получится. А вот сопоставить индивидуальную эцп или отпечаток с моими аккаунтами будет простейшим делом 

Ответить
0

отпечаток с моими аккаунтами будет простейшим делом

Слышал что-то про сквозное шифрование?
Как в твоём понимании информация об отпечатке должна попасть "товарищу майору"?
А если он ее и получит, то как дешифрует?

Ответить
0

А мы речь только про банковские операции ведём? Или у тебя есть надежда на добросоветсность каких-нибудь сервисов Яндекса, с которыми все таки приходится иногда дела иметь? 

Ответить
0

Я биометрию в Яндексе не оставлял, при чем тут он? Вход в аккаунты выполняется через апи андроида, вся инфа лежит у Гугла.

Ответить
4

Щас бы в 21 веке тыкать флешками по портам для того что бы посмотреть картинку с мемом. Идите нахер.

Ответить

Архитектурный Макс

4

Самая удобная для меня капча у 4пда, там просто написать цифрами число, как 6407, которое написано словами.

Ответить
0

написанное с ошибками?

Ответить

Заметный Валера

0

не более трёх щелчков мыши

Гугл с рекапчей обещал один клик и первое время так и было. Потом каждый раз ты начинаешь отмечать светофоры и дорожные знаки. hCaptcha тот еще адок с лодками и самолетами. Все кому не лень прикручивают эту проверку Cloudflare, зачастую даже не понимая что это и зачем. Если с гугла перехожу на рандомный сайт и там сразу проверка - закрываю.

Ответить

Ценный супер_стар

Заметный
9

Внезапно самая офигенная капча - где надо просто сложить картинку. Типа вставь 1 пазл. Особенно если картинка из аниме-тянки. Никогда не надоедает.

Ответить
1

Шашки на раздевание

Ответить
1

Google позволяет пройти капчу в один клик только если их рассчитанный фактор доверия для устройства достаточный.
Например, использование режима инкогнито браузера его очень сильно понижает, а пользователи с серым IP особенно сильно страдают 
Плюс каждое прохождение капчи его понижает, после 2-3 прохождений придётся решать ребусы, даже если ты залогинен в гугл аккаунт с выделенным белым IP.

Ответить
1

серый айпи.. это разве не большинство людей? если я правильно помню, и это все эти дешевые айпи подсетки, которые провайдер юзает чтобы не засорять юзерами ограниченное количество "тех самых реальных"? олсо динамические

Ответить
3

Они все думали и думали: чтоб ещё продать?
И придумали

Ответить
3

С обычной капчей фиг с ней, но какой идиот придумал усложненные капчи на сложение суммы на гранях кубиков и прочего в таком духе? Почему его до сих пор не поймали и не обоссали за это?

Ответить
0

Ееееееее, наканецта то анальные зонды с эцп на каждого члена семьи
Беру два, себе и моему другу

Ответить
0

И все щас начнут внедрять данный функционал. Ага

Ответить
4

А его никто не должен же отдельно внедрять, насколько я понимаю. Если клаудфэр считает, что запрош похож на ддосовый, он самостоятельно заворачивает пользователя на свою собственную страничку, где ему предлагают либо ввести капчу, либо вот теперь воткнуть ключ, после чего отправляют на сайт. Все изменения по идее происходят внутри самой клаудфэр.

Ответить