Apple ha compiuto diversi passi verso un futuro senza password alla sua Worldwide Developers Conference, ma un'altra parte della sua strategia sarà quella di sostituire CAPTCHA (Completely Automated Public Turing Test to Differentiate Computers and Humans) con una soluzione più privata.

Panoramica: token di accesso privato

Apple collabora con Cloudflare (con il quale la maggior parte crede di aver sviluppato la tecnologia alla base di iCloud Private Relay). Sta inoltre lavorando con Google e Fastly per implementare un'alternativa standardizzata al CAPTCHA chiamata token di accesso privato.

Ci siamo tutti abituati a incontrare domande CAPTHA quando lavoriamo online. Il nome dei passaggi per marciapiedi e taxi che la parte della gens ont individuata nelle fotografie deve essere sicuramente calcolato in miliardi, e questo è per una fase supplementare ennuyeuse de suivre le processus lors de la connexion ou de la création de nouveaux comptes in linea.

Il processo sfida anche gli utenti con problemi di accessibilità o barriere linguistiche.

Un altro problema è che i server CAPTCHA a volte fanno affidamento sul rilevamento delle impronte digitali/tracciamento dei clienti utilizzando il loro indirizzo IP, che non riflette le misure del settore adottate per proteggere la privacy degli utenti. E mentre il processo aiuta a proteggere i servizi e i loro server da attività fraudolente, aggiunge attrito all'esperienza dell'utente.

Pertanto, CAPTCHA serve al suo scopo, ma a scapito dell'esperienza dell'utente, della privacy e dell'accessibilità.

I token di accesso privato cercano di trovare un modo migliore.

Cosa sono i token di accesso privato?

La teoria alla base dei token di accesso privato è che quando arrivi a un sito web, hai già eliminato ostacoli difficili da imitare per un bot. Probabilmente stai utilizzando un dispositivo che è già sbloccato utilizzando un'autorizzazione biometrica o un passcode. Sulle piattaforme Apple, è probabile che gli utenti accedano al dispositivo con un ID Apple e utilizzino probabilmente un'app firmata in codice. I token di accesso privato utilizzano queste informazioni per stabilire la fiducia all'interno della tecnologia attualmente standardizzata dall'IETF Privacy Pass Working Group.

Apple ha mostrato due dispositivi che accedono al sito Web FT.com per dimostrarlo. Il primo dispositivo iOS 15 doveva inserire i dettagli dell'account e quindi utilizzare CAPTCHA per accedere; il dispositivo iOS 16 ha semplicemente visitato il sito per connettersi, non è richiesta alcuna interazione.

Se consideri quante volte al giorno tu o i tuoi clienti avete bisogno di accedere per la prima volta, i vantaggi dei token di accesso privato sembrano evidenti.

Cosa succede in pratica?

Se ho capito bene, questo è il processo che si svolge:

  • Il dispositivo e il servizio/sito Web devono prima introdurre il supporto per i token di accesso privato.
  • I server richiederanno i token utilizzando un nuovo metodo di autenticazione HTTP chiamato PrivateToken, che utilizza tecniche di crittografia per verificare che un utente abbia superato il cosiddetto "controllo di attestazione".
  • Un controllo di attestazione può essere inteso come una dichiarazione altamente sicura, privata e affidabile che dice al server che la richiesta proviene da un richiedente in buona fede.
  • Il processo nasconde le informazioni personali e si basa (nel caso di Apple, anche se altre implementazioni possono variare) su un servizio di attestazione iCloud (un "emittente di token") che verifica l'utente senza condividere (o apprendere) informazioni personali su di loro. .
  • Cloudflare e Fastly ora offrono servizi di tokenizzazione per servizi e piattaforme.
  • Cloudflare ha già integrato il supporto per i token di accesso privato nella sua piattaforma Managed Challenge, quindi i clienti che già utilizzano questa funzione trarranno vantaggio automaticamente da questa nuova tecnologia per migliorare l'esperienza di navigazione per i dispositivi supportati.
  • Una volta completato il processo di certificazione, il server sa che la richiesta non è fraudolenta e proviene da una persona reale.
  • E li fa entrare senza CAPTCHA.

C'è molto di più nel processo rispetto a questa spiegazione in qualche modo semplificata. Ad esempio, protegge anche dalle richieste di accesso da dispositivi o bot compromessi. Se vuoi scavare un po' più a fondo, gli sviluppatori possono dare un'occhiata a questa presentazione di Apple, questa nota su Cloudflare, un'altra di Fastly e l'introduzione di Google a una tecnologia simile chiamata Chrome Trust Tokens. Infine, per un'analisi più approfondita, questo articolo descrive l'architettura del sistema e fornisce agli sviluppatori Apple ulteriori dettagli per aiutare a implementare/supportare la funzionalità.

Che futuro ha questa tecnologia in Apple?

I beta tester di iOS 16, iPad OS 16 e macOS Ventura di Apple potrebbero già scoprire la tecnologia se visitano un sito o un servizio che già supporta la tecnologia, ma a meno che non gli piacciano davvero le query CAPTCHA, probabilmente non lo faranno. Si renderanno conto. . Ovviamente, nel tempo vedremo sempre più siti e servizi introdurre il supporto, con la maggior parte degli sviluppatori Apple che scelgono iCloud per la certificazione e terze parti, inclusi i fornitori di tecnologia CAPTCHA esistenti, probabilmente integrano il supporto per i token di accesso privato nei loro sistemi.

Questa tecnologia è tutt'altro che l'unico miglioramento della sicurezza e della privacy annunciato da Apple al WWDC. L'azienda discuterà oggi degli strumenti per garantire ulteriormente la sicurezza DNS all'interno di un'app e ha anche introdotto la tecnologia di autenticazione di nuova generazione, Passkeys. Le chiavi di accesso sono un modo altamente sicuro per accedere a siti e servizi. La società ha anche implementato alcuni straordinari miglioramenti della sicurezza e della privacy in Safari, inclusa una protezione più forte contro le vulnerabilità di scripting tra siti. Maggiori informazioni qui.

Cosa dicono Fastly e Cloudflare

Jana Iyengar, Product Manager, Infrastructure Services di Fastly, ha spiegato:

“Fastly è orgogliosa di investire, impegnarsi e creare tecnologie e prodotti che esemplificano la nostra convinzione che la sicurezza e la privacy siano essenziali per un Internet più affidabile. Stiamo lavorando attivamente con i nostri partner nella comunità degli standard per aggiungere più funzionalità ai token di accesso privato, come la limitazione delle tariffe per la protezione dei media e le certificazioni per più proprietà dei clienti. Ci sono alcune interessanti applicazioni potenziali per questa tecnologia: pensa a cosa potresti fare con il materiale crittografico che espone esattamente ciò che un sito web ha bisogno di sapere su un utente, come la sua età. Fornire una garanzia esplicita su questo tipo di flusso di dati può proteggere sia gli utenti che i siti web.

Reid Tatoris e Maxime Guerreiro di Cloudflare hanno scritto:

“Questo è solo il primo passo per noi. Stiamo lavorando attivamente per convincere altri clienti e produttori di dispositivi a utilizzare il framework PAT. Ogni volta che un nuovo client inizia a utilizzare il framework PAT, il traffico del tuo sito da questo client verrà avviato automaticamente. richiedendo token e i tuoi visitatori vedranno automaticamente meno CAPTCHA. Molto presto integreremo PAT in altri prodotti di sicurezza.

Cosa significa per te e per la tua attività

Insieme alle molte altre soluzioni di Apple per proteggere la privacy online, l'intento del settore di rendere sempre più difficile correlare i dati del dispositivo con l'identità personale significa che le impronte digitali dovrebbero essere un ricordo del passato. I capitalisti della sorveglianza che commerciano i dati personali esfiltrati di individui senza il consenso esplicito dovranno sicuramente cambiare i loro modelli di business, e dovrebbero.

Nel loro insieme, queste modifiche dovrebbero offrire vantaggi straordinari a tutti gli utenti, stabilendo al contempo protezioni aggiuntive per le aziende per proteggersi da tentativi sofisticati di raccogliere dati personali per minare la sicurezza degli endpoint o penetrare nelle reti.

Seguimi su Twitter o unisciti a me al bar & grill di AppleHolic e ai gruppi di discussione MeWe di Apple.

Copyright © 2022 IDG Communications, Inc.

Condividi questo