圈小蛙

Cloudflare正式推出Turnstile验证码项目,以替代泯灭人性的CAPTCHA验证码

在10月份的Connect会议之前,Cloudflare宣布了一个名为Turnstile的雄心勃勃的新项目,该项目旨在消除整个网络用于验证人们真实身份的CAPTCHA。无论是否为Cloudflare客户,Turnstile都可以免费提供给网站所有者,它从一套轮换的“浏览器挑战”中进行选择,以检查网页的访问者实际上不是机器人。

Cloudflare宣布的Turnstile项目,是一种简单、私密的验证码方式,可取代CAPTCHA(完全自动化的公共图灵测试,以区分计算机和人类),并帮助在整个互联网上验证人性。

现在,任何网站所有者都可以通过一个简单的API替换CAPTCHA,无论他们是否是Cloudflare客户。

CAPTCHA,即我们大多数人在填写表格时遇到的挑战-回应测试,已经存在了几十年,而且它们在阻止机器人流量方面相对成功。但是,廉价劳动力的兴起、各种验证码类型的错误以及自动解算器已经开始在这个系统中出现漏洞。一些网站提供人类和人工智能支持的验证码解决服务,每解决1000个验证码只需0.5美元,一些研究人员声称基于人工智能的攻击可以成功解决世界上最受欢迎的网站使用的验证码。

长期以来,CAPTCHA一直被认为是一种糟糕的用户体验,它通过收集用户数据牺牲了隐私。它们通常以挑战的形式出现,目的是让计算机难以通过,但对人类来说却很简单,例如识别拉伸的字母或数字,或像人行横道或停车标志。据估计,人类为了解决验证码,每天要浪费500年时间。

除了成为互联网的减速器外,这些测试还因其缺乏可访问性而受到批评,假设所有互联网用户都有解决这些问题的身体和认知能力。隐私也面临风险;例如,谷歌的reCAPTCHA在市场上占主导地位,它可能要求用户登录他们的谷歌账户作为一种验证形式。没有人应该在仅仅试图证明自己不是机器人的时候放弃私人信息。Cloudflare的解决方案是对reCAPTCHA的落地替换,保留了用户的隐私。

Cloudflare本身曾经是CAPTCHA用户。但根据Cloudflare首席技术官John Graham-Cumming的说法,该公司从未对它感到十分满意——如果Cloudflare的公开集会呼声没有明确说明这一点。Graham-Cumming列出了他认为CAPTCHA技术的许多缺点,包括可访问性差(视觉障碍可能无法解决CAPTCHA)、文化偏见(CAPTCHA假设熟悉美国出租车等物体)和CAPTCHA对移动数据计划造成的压力。

“CAPTCHA最大的问题是用户体验很糟糕。随着计算机在解决这些问题上做得越来越好,用户体验只会变得更糟。”Graham-Cumming在电子邮件采访中说。

Cloudflare一度转移到了一项名为hCaptcha的服务——但评价也不一。一个常见的挑战要求用户输入他们的名字,说出他们喜欢茄子还是胡萝卜,然后点击显示火车的27张图片中的每一张。Graham-Cumming表示,这种反冲效应以及一些CAPTCHA服务征收的费用是促使 Cloudflare开发自己的替代方案的部分原因。

“我们几年来一直在研究一个解决方案,几个月前在博客上介绍了我们如何将自己的CAPTCHA使用率降低了91%。由于我们已经证明它对我们有用,我们希望让每个人都可以选择摆脱 CAPTCHA。”他补充道。

Cloudflare 说,Turnstile会根据“会话期间显示的遥测和客户端行为”自动选择浏览器挑战,而不是像登录cookies这样的因素。在运行非交互式JavaScript挑战以收集关于访问者和浏览器环境的信号,并使用人工智能模型检测特征和之前通过挑战的访问者之后,Turnstile根据具体请求微调挑战的难度——避免让用户解决一个难题。

Graham-Cumming说:“如果您现在使用现有的CAPTCHA服务,更换Turnstile只是对代码字符串的查找和替换,它与任何其他网络提供商兼容……您无需使用任何其他Cloudflare服务,例如我们的内容交付网络,即可使用 Turnstile。”

Cloudflare的联合创始人兼首席执行官Matthew Prince说:“Cloudflare正在采用最令人讨厌的互联网技术之一,让每个人都可以更轻松、更安全、更私密地使用它。” “类似于我们的1.1.1.1应用程序,使每个用户和互联网更安全,我们很高兴与任何规模和任何地方的开发人员分享Turnstile,以获得改进和更私密的最终用户体验。”

Turnstile是一个更智能、不可见的CAPTCHA替代品。该解决方案会自动从一组在幕后工作的轮换浏览器挑战中进行选择,寻找存在人类用户的信号。Turnstile可以微调挑战的难度,向表现出非人类行为的访问者提出更难的挑战。

此外,Turnstile可以识别来自macOS或iOS最新版本的用户的私人访问令牌,允许Turnstile在设备供应商的帮助下验证设备,而无需收集、触摸或存储用户设备数据。

Turnstile现在的稳定解决率与之前使用的CAPTCHAs相同。有了这项技术,Cloudflare将自己对CAPTCHA的使用减少了91%,并将访客在挑战中花费的时间从平均32秒减少到平均只有一秒钟,以运行非交互式挑战。

Turnstile现在可供任何开发人员在其网站上使用,无论他们是否是Cloudflare的客户。要部署Turnstile,网站管理员要创建一个Cloudflare账户并获得必要的嵌入代码,然后将其粘贴到网站的代码中。在添加对Cloudflare的Turnstile API的服务器端调用后,该服务就会上线。任何网站都可以调用该API。

Exit mobile version