Om du surfer på nettet på jevnlig basis, har du helt sikkert kommet borti testene som skal verifisere at du er et menneske og ikke en automatisert bot – forkortet Captcha (Completely Automated Public Turing test to tell Computers and Humans Apart).
Testene består for eksempel i å plukke ut bestemte objekter fra et bilde, og de kan oppleves som et unødvendig tidkrevende irritasjonsmoment. Løsningen er riktignok blitt forbedret, men nå vil et selskap kvitte seg helt med Captcha.
Bruker fysiske sikkerhetsnøkler
På bloggen sin legger Cloudflare, et selskap som tilbyr blant annet DNS- og sikkerhetstjenester på nettet, frem et helt nytt alternativ til Captcha som skal gjøre verifiseringsprosessen vesentlig mer strømlinjeformet.
Den nye løsningen baserer seg på fysiske sikkerhetsnøkler og har fått navnet «Cryptographic Attestation of Personhood». Den fungerer ved at brukeren først klikker på en knapp merket «jeg er et menneske» og bes om å benytte en fysisk sikkerhetsnøkkel.
Deretter plugger man nøkkelen inn i PC-en, eller eventuelt kan man bruke mobilens trådløse NFC-løsning, og så sendes en kryptografisk attest til Cloudflare som slipper brukeren inn.
Metoden krever kun tre klikk og tar cirka fem sekunder å fullføre. Til sammenligning tar eksisterende Captcha-tester i snitt 32 sekunder å fullføre, ifølge selskapets sine egne undersøkelser.
Løsningen kan testes ut allerede i en betautgave på denne siden, og blant andre The Verge har prøvd metoden og kan bekrefte at den fungerer som beskrevet.
Den korte, tekniske forklaringen på hvordan det hele fungerer er at enheten enheten din har en innebygget sikkerhetsmodul som inneholder en unik «hemmelighet» som er forseglet av produsenten. Denne modulen er i stand til å bevise at den har denne hemmeligheten uten å avsløre den, og Cloudflare ber om dette beviset og sjekker at produsenten er legitim.
Sløser bort 500 år hver dag
Den lange forklaringen kan studeres nærmere på selskapets blogg.
Løsningen baserer seg på WebAuthn-standarden, som allerede er implementert i de fleste nettlesere og operativsystemer. Foreløpig er det imidlertid kun et begrenset antall sikkerhetsnøkler som støtter løsningen; Yubikey, HyperFIDO og Thetis FIDO U2F.
Personvernet er også ivaretatt, siden verifiseringsprosessen ikke er knyttet til den individuelle nøkkelen. Identifikatoren deles nemlig med andre nøkler, i kraft av at alle produsentene Cloudflare stoler på er medlem av FIDO-alliansen.
Ifølge sikkerhetsselskapet vil den samlede tidsbesparelsen potensielt være svært stor med den nye løsningen.
– Det er 4,6 milliarder globale internettbrukere. Vi antar at en typisk internettbruker ser cirka én Captcha-test hver tiende dag. Denne enkle matematikken tilsvarer noe i størrelsesorden 500 menneskelige år som sløses bort hver dag – bare for å bevise vår menneskelighet, skriver Cloudflare.
Løsningen er altså ennå i en tidlig, eksperimentell fase. Om du vil prøve den ut, kan du besøke cloudflarechallenge.com, og selskapet ber om tilbakemeldinger, som du kan gi via dette skjemaet.
Nå skal Google skru på totrinnsverifisering som standard
