Los CAPTCHA son bien conocidos y odiados, y aunque haría muchas cosas para no tener que volver a identificar una señal de tráfico, el nuevo sistema de claves de seguridad de Cloudflare no hace que la molestia sea más soportable, ni siquiera igual de segura.
Encontrar un CAPTCHA mientras se lee detenidamente Internet suele ser así: ¿Es una palmera o un árbol normal? ¿Es una esquina minúscula de un paso de peatones o una mancha blanca? ¿Soy un robot o un humano?
En lugar de sufrir este dolor, Cloudflare quiere eliminar los CAPTCHA con su nuevo sistema de seguridad, llamado “Atestación criptográfica de personalidad”. Actualmente, el software utiliza llaves de seguridad USB físicas, como Yubikey, para registrarse cuando toca o mira el dispositivo.
Esta acción, junto con conectar el USB a su computadora mientras ejecuta el software (actualmente beta), verificaría de manera segura su estado humano.
Si tiene una llave USB de este tipo, puede probar el software usted mismo en cloudflarechallenge.com. Eché un vistazo sin la llave y todavía te haces una idea. El botón prominente “Soy humano” es fácil de encontrar y hacer clic, lo que le indica que conecte su dispositivo y lo toque.
En la superficie, definitivamente se siente más fácil y rápido que entrecerrar los ojos ante imágenes granulosas. Pero también convierte la navegación en Internet en una pesadilla de autenticación de dos factores. En lugar de hacer clic en los autobuses, tendría que buscar mi USB, enchufarlo y tocarlo, lo que presenta sus propios desafíos. Por un lado, agregar otro dispositivo a la mezcla es definitivamente un combustible de pesadilla para los distraídos, como yo. Para dos, depender de los dispositivos USB se convierte en una molestia para las personas que tienen computadoras sin puertos USB, como las últimas MacBook Pros.
Cloudflare reconoce que las llaves de seguridad USB no son los dispositivos más comunes, por lo que su objetivo es integrar el software en los teléfonos inteligentes en el futuro. Y sí, si bien esto agilizaría la cantidad de dispositivos necesarios para ser una persona en Internet, es más que el único dispositivo de mi computadora. Al igual que los sistemas 2FA actuales, todavía me requeriría gemir mientras me levanto de mi computadora portátil y tomo mi teléfono para verificar mi personalidad.
Si bien aprecio la seguridad mejorada y la necesidad de 2FA, simplemente lo odio. Los sitios actuales que requieren autenticación de dos factores a través de aplicaciones como OneLogin o Google One me hacen sentir extremadamente dependiente de mi teléfono inteligente. Y todavía provocan un tipo de pánico diferente pero insoportable al intentar iniciar sesión.
Pero claro, digamos que tengo un hueso perezoso excepcional, y esta podría ser una excelente manera de proteger su identidad y seguridad mientras está en línea. Por desgracia, la propia Cloudflare ha admitido sus propias fallas de seguridad.
La versión actual, que usa las llaves USB, se basa en sensores táctiles para distinguir entre humanos y robots a través de la certificación. Pero como señala Ackermann Yuriy, director ejecutivo de la consultora Webauthn Works, “la certificación no prueba nada más que el modelo del dispositivo”. El proceso de certificación básicamente verifica el fabricante de su clave de seguridad, que codifica un secreto confiable que se envía a Cloudflare. Pero teóricamente, una vez que un humano compra el dispositivo, puede ser operado por un robot.
En su propio blog, Cloudflare dice que un pájaro bebedor (esos juguetes de dibujos animados que sumergen repetidamente sus picos en el agua) podría activar el sensor táctil, pasando así la prueba de autenticación. Defiende esto diciendo que esto sería más lento que otros bots profesionales de resolución de CAPTCHA, así que al menos lo están intentando.
La mayor ventaja del sistema de Cloudflare es una mayor accesibilidad para personas con discapacidades cognitivas o visuales. Si bien la identificación de objetos aleatorios es una molestia para la mayoría, los CAPTCHA son básicamente irresolubles para estos usuarios, y un objeto de seguridad física podría ser una ayuda bienvenida.
En un mundo ideal, quizás el método de certificación de Cloudflare podría ser una medida de seguridad opcional además de CAPTCHA en la mayoría de los sitios, en lugar de reemplazarlo por completo. Sí, fallar un CAPTCHA que me pide que haga clic en las bocas de incendio puede hacerme cuestionar mi humanidad, pero creo que elijo defenderlo y seguir haciendo clic. Al menos es una experiencia universal
0 comentarios