Apple tog flera steg mot en lösenordslös framtid på sin Worldwide Developers Conference, men en annan del av dess strategi kommer att vara att ersätta CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart) med en mer privat lösning.
Översikt: Privata åtkomsttokens
Apple arbetar med Cloudflare (som de flesta tror utvecklade tekniken bakom iCloud Private Relay). Det arbetar också med Google och Fastly för att implementera ett standardiserat alternativ till CAPTCHA som kallas privata åtkomsttokens.
Alla våra hemos har gått med på att träffa CAPTHA-konsultationer när vi arbetar online. Antalet övergångsställen och taxibilar som de flesta har identifierat på fotografier måste säkert uppgå till miljarder, och det är ibland ett irriterande extra steg att gå igenom processen när man loggar in eller skapar nya konton online.
Processen utmanar också användare med tillgänglighetsproblem eller språkbarriärer.
Ett annat problem är att CAPTCHA-servrar ibland förlitar sig på fingeravtryck/spårning av kunder som använder deras IP-adress, vilket inte återspeglar branschåtgärder som vidtagits för att skydda användarnas integritet. Och även om processen hjälper till att skydda tjänsterna och deras servrar från bedräglig aktivitet, tillför den friktion till användarupplevelsen.
Därför tjänar CAPTCHA sitt syfte, men på bekostnad av användarupplevelse, integritet och tillgänglighet.
Privata åtkomsttokens försöker hitta ett bättre sätt.
Vad är privata åtkomsttokens?
Teorin bakom privata åtkomsttokens är att när du kommer till en webbplats har du redan övervunnit hinder som är svåra för en bot att imitera. Du använder förmodligen en enhet som redan är upplåst med biometrisk auktorisering eller ett lösenord. På Apple-plattformar kommer användare sannolikt att logga in på enheten med ett Apple-ID och sannolikt använda en kodsignerad app. Privata åtkomsttokens använder denna information för att skapa förtroende inom tekniken som för närvarande standardiseras av IETF Privacy Pass Working Group.
Apple visade två enheter som åtkomst till webbplatsen FT.com för att visa detta. Den första iOS 15-enheten var tvungen att fylla i kontouppgifter och sedan använda CAPTCHA för att logga in; iOS 16-enheten besökte helt enkelt webbplatsen för att ansluta, ingen interaktion krävs.
När du tänker på hur många gånger om dagen du eller dina kunder behöver logga in för första gången, verkar fördelarna med privata åtkomsttokens uppenbara.
Vad händer i praktiken?
Om jag förstått det rätt är det här processen som genomförs:
- Enheten och tjänsten/webbplatsen måste först introducera stöd för privata åtkomsttokens.
- Servrar kommer att begära tokens med hjälp av en ny HTTP-autentiseringsmetod som kallas PrivateToken, som använder kryptografiska tekniker för att verifiera att en användare har klarat vad som kallas en "attestationskontroll".
- En attestationskontroll kan förstås som ett mycket säkert, privat och pålitligt uttalande som talar om för servern att begäran kommer från en bona fide-beställare.
- Processen döljer personlig information och förlitar sig (i Apples fall, även om andra implementeringar kan variera) på en iCloud-attesteringstjänst (en "tokenutgivare") som verifierar användaren utan att dela (eller lära sig) personlig information om dem. .
- Cloudflare och Fastly erbjuder nu tokeniseringstjänster för tjänster och plattformar.
- Cloudflare har redan integrerat stöd för privata åtkomsttokens i sin Managed Challenge-plattform, så kunder som redan använder den här funktionen kommer automatiskt att dra nytta av denna nya teknik för att förbättra surfupplevelsen på enheter som stöds.
- När certifieringsprocessen är klar vet servern att begäran inte är bedräglig och kommer från en riktig person.
- Och det låter dem komma in utan CAPTCHA.
Det finns mycket mer i processen än vad denna något förenklade förklaring ger. Till exempel skyddar den också mot åtkomstförfrågningar från komprometterade enheter eller botar. Om du vill gräva lite djupare kan utvecklare kolla in den här presentationen från Apple, den här anteckningen om Cloudflare, en annan från Fastly och Googles introduktion till en liknande teknik som kallas Chrome Trust Tokens. Slutligen, för en djupare dykning, beskriver den här artikeln systemarkitekturen och ger Apple-utvecklare ytterligare information för att implementera/stödja funktionen.
Vilken framtid har denna teknik hos Apple?
Apples betatestare för iOS 16, iPad OS 16 och macOS Ventura kanske redan upptäcker tekniken om de går till en webbplats eller tjänst som redan stöder tekniken, men om de inte verkligen gillar CAPTCHA-frågor kommer de förmodligen inte att göra det. De kommer att inse. . Naturligtvis kommer vi med tiden att se fler och fler webbplatser och tjänster introducera support, med de flesta Apple-utvecklare som väljer iCloud för certifiering och tredje part, inklusive befintliga CAPTCHA-teknikleverantörer, kommer troligen att integrera stöd för privata åtkomsttokens i sina system.
Denna teknik är långt ifrån den enda förbättringen av säkerhet och integritet som Apple tillkännagav på WWDC. Företaget kommer att diskutera verktyg idag för att ytterligare säkerställa DNS-säkerhet i en applikation, och har även introducerat nästa generations autentiseringsteknik, Passkeys. Lösenord är ett mycket säkert sätt att komma åt webbplatser och tjänster. Företaget implementerade också några imponerande säkerhets- och integritetsförbättringar i Safari, inklusive ett starkare skydd mot skriptsårbarheter över flera webbplatser. Mer om det här.
Vad Fastly och Cloudflare säger
Jana Iyengar, produktchef, Infrastructure Services på Fastly, förklarade:
“Fastly är stolta över att investera, engagera sig och skapa teknologier och produkter som exemplifierar vår övertygelse om att säkerhet och integritet är avgörande för ett mer tillförlitligt internet. Vi arbetar aktivt med våra partners i standardgemenskapen för att lägga till mer funktionalitet till privata åtkomsttokens, såsom hastighetsbegränsning för medieskydd och certifieringar för fler kundegenskaper. Det finns några intressanta potentiella tillämpningar för denna teknik: tänk på vad du kan göra med kryptografiska säkerheter som avslöjar precis vad en webbplats behöver veta om en användare, till exempel deras ålder. Att tillhandahålla en uttrycklig garanti för denna typ av dataflöde kan skydda både användare och webbplatser.
Reid Tatoris och Maxime Guerreiro från Cloudflare skrev:
"Detta är bara det första steget för oss. Vi arbetar aktivt för att få andra kunder och enhetstillverkare att också använda PAT-ramverket. Varje gång en ny kund börjar använda PAT-ramverket kommer deras webbplatstrafik från denna kund att starta automatiskt.requesting tokens, och dina besökare kommer automatiskt att se mindre CAPTCHA. Vi kommer att integrera PAT i andra säkerhetsprodukter mycket snart.
Vad detta betyder för dig och ditt företag
Tillsammans med Apples många andra lösningar för att skydda online integritet, innebär branschens avsikt att göra det allt svårare att korrelera enhetsdata med personlig identitet att fingeravtryck bör vara ett minne blott. Övervakningskapitalister som handlar med exfiltrerade personuppgifter om människor utan uttryckligt samtycke kommer säkert att behöva ändra sina affärsmodeller, och det borde de.
Tillsammans bör dessa förändringar ge extraordinära fördelar för alla användare samtidigt som de skapar ytterligare sköldar så att företag kan skydda sig mot sofistikerade försök att samla in personuppgifter för att undergräva säkerheten för slutpunkter eller penetrera nätverk.
Följ mig på Twitter eller gå med mig på AppleHolics bar & grill och Apples diskussionsgrupper på MeWe.
Copyright © 2022 IDG Communications, Inc.