Apple na WWDC 2022 předvedl technologii nazvanou Private Access Tokens, která by mohla definitivně nahradit CAPTCHA. Soukromé přístupové tokeny (PAT) mohou prokázat, že požadavek HTTP přichází od člověka místo od robota. CAPTCHA jsou současnou formou autentizace, ale člověku nějakou dobu trvá, než ji dokončí.
Jak se technologie liší?
CAPTCHA, známá jako zcela automatizovaný veřejný Turingův test, který odlišuje počítače a lidi, je obrázek nebo hádanka, která se objevuje na webu. Začíná kliknutím na tlačítko „Nejsem robot“. Zkreslená slova, identifikace objektů na obrázku nebo posunutí dílku skládačky, tyto nástroje jsou nepříjemné.
CAPTCHA mohou být také kompromitovány, například mohou být použity ke krádeži přihlašovacích údajů nebo pocházejí od společnosti, která neklade soukromí na první místo. PAT ověřují požadavek HTTP automaticky na pozadí. Uživatelé webu si ničeho nevšimnou a poskytovatelé cloudu jako Cloudflare a Fastly již tuto technologii začleňují.
Ověřování lidí na webu
Pomocí nové metody ověřování HTTP nazvané PrivateToken server používá kryptografii k ověření, zda klient prošel atestační kontrolou iCloud.
Když klient potřebuje token, kontaktuje atestera – v tomto případě Apple – který proces provede pomocí certifikátů uložených v Secure Enclave zařízení. Atestér může také provádět něco, čemu se říká omezování rychlosti.
Omezení rychlosti dokáže rozpoznat, zda se klientské zařízení řídí typickými uživatelskými vzory nebo je součástí klikací farmy pro iPhone, například.
Když se uživatel Applu přihlásí do svého zařízení pomocí hesla, Touch ID nebo Face ID, otevře Safari a přejde na webovou stránku, jejich akce je pro robota těžké napodobit.
Podepsaný token je nakonec odeslán na server ve vícestupňovém procesu. Server neví nic o zařízení nebo osobě, která k němu přistupuje. Ale důvěřuje atestátorovi a ověří token a osoba je přesměrována na svou cílovou webovou stránku.
Cloudflare vysvětluje, že při použití PAT jsou data zařízení izolovaná a nejsou sdílena mezi stranami zapojenými do procesu. Cloudflare zná cílovou adresu URL, ale ne informace o zařízení nebo interakci uživatele.
Web zná pouze URL a IP adresu klienta a výrobce zařízení nebo atestér zná pouze minimální množství údajů o zařízení, které je nutné pro atestaci. Nezná cílovou URL ani IP adresu uživatele.
Tokeny jsou jednorázové jako způsob, jak omezit útoky opakovaného přehrávání, což je situace, kdy se klient pokouší prezentovat token několikrát.
Webové servery přístupné přes Safari a WebKit budou automaticky pracovat s PAT. Jiná zařízení nemusí proces tokenu rozpoznat, proto Apple varuje vývojáře, aby zajistili, že ověření uživatele neblokuje hlavní webovou stránku, a aby jej prezentovali jako volitelné.
Apple říká, že tyto tokeny vyžadují zařízení se systémem iOS 16 nebo macOS Ventura nebo novější s přihlášeným Apple ID. Apple ID se používá pouze pro atestaci a není sdíleno.
Je to zajímavý krok od Applu a cíl ukončit CAPTCHA je ušlechtilý. Je to také další způsob, jak uživatelé Apple prožívají procházení webů jinak.
S technologiemi, jako je iCloud Private Relay , Hide My Mail a App Tracking Transparency, Apple nadále omezuje vystavení osobních údajů svým zákazníkům.
Společnost pracuje na tom, aby se soukromé přístupové tokeny staly webovým standardem, ale nezmiňuje se o tom, že by tokeny fungovaly na Androidu nebo Windows. Lidé na těchto platformách se možná budou muset zatím smířit s CAPTCHA – nebo počkat na práci Microsoftu a Google v této věci.