Apple dio varios pasos hacia un futuro sin contraseña en su Conferencia Mundial de Desarrolladores, pero otra parte de su estrategia será reemplazar CAPTCHA (Prueba de Turing Pública Completamente Automatizada para Diferenciar Computadoras y Humanos) con una solución más privada.

Descripción general: tokens de acceso privado

Apple trabaja con Cloudflare (con quien la mayoría cree que desarrollaron la tecnología detrás de iCloud Private Relay). También está trabajando con Google y Fastly para implementar una alternativa estandarizada a CAPTCHA llamada tokens de acceso privado.

Todos nos hemos acostumbrado a encontrar consultas CAPTHA cuando trabajamos en línea. Le nombre de passages pour piétons et de taxis que la plupart des gens ont identifiés sur les photographies doit sûrement se compter en milliards, et c’est parfois une étape supplémentaire ennuyeuse de suivre le processus lors de la connexion ou de la création de nouveaux comptes en línea.

El proceso también desafía a los usuarios con problemas de accesibilidad o barreras del idioma.

Otro problema es que los servidores de CAPTCHA a veces se basan en la toma de huellas dactilares/rastreo de clientes usando su dirección IP, lo que no refleja las medidas de la industria tomadas para proteger la privacidad del usuario. Y si bien el proceso ayuda a proteger los servicios y sus servidores de actividades fraudulentas, agrega fricciones a la experiencia del usuario.

Por lo tanto, CAPTCHA cumple su propósito, pero a expensas de la experiencia del usuario, la privacidad y la accesibilidad.

Los tokens de acceso privado intentan encontrar una mejor manera.

What are private access tokens?

La teoría detrás de los tokens de acceso privado es que cuando llega a un sitio web, ya ha superado obstáculos que son difíciles de imitar para un bot. Probablemente esté usando un dispositivo que ya está desbloqueado mediante autorización biométrica o un código de acceso. En las plataformas de Apple, es probable que los usuarios inicien sesión en el dispositivo con una ID de Apple y probablemente utilicen una aplicación firmada con código. Los tokens de acceso privado utilizan esta información para establecer la confianza dentro de la tecnología actualmente estandarizada por el Grupo de Trabajo de Pase de Privacidad de IETF.

Apple mostró dos dispositivos que accedían al sitio web FT.com para demostrar esto. El primer dispositivo iOS 15 tenía que completar los detalles de la cuenta y luego usar CAPTCHA para iniciar sesión; el dispositivo iOS 16 simplemente visitó el sitio para conectarse, no se requiere interacción.

Cuando considera cuántas veces al día usted o sus clientes necesitan iniciar sesión por primera vez, los beneficios de los tokens de acceso privado parecen claros.

¿Qué sucede en la práctica?

Si entendí bien, este es el proceso que se lleva a cabo:

  • El dispositivo y el servicio/sitio web primero deben presentar soporte para tokens de acceso privado.
  • Los servidores solicitarán tokens usando un nuevo método de autenticación HTTP llamado PrivateToken, que usa técnicas criptográficas para verificar que un usuario haya pasado lo que se llama una «verificación de atestación».
  • Una verificación de atestación puede entenderse como una declaración altamente segura, privada y confiable que le dice al servidor que la solicitud proviene de un solicitante de buena fe.
  • El proceso oculta información personal y se basa (en el caso de Apple, aunque otras implementaciones pueden variar) en un servicio de atestación de iCloud (un «emisor de tokens») que verifica al usuario sin compartir (o aprender) información personal sobre él.
  • Cloudflare y Fastly ahora ofrecen servicios de tokenización para servicios y plataformas.
  • Cloudflare ya ha integrado la compatibilidad con tokens de acceso privado en su plataforma Managed Challenge, por lo que los clientes que ya usan esta función aprovecharán automáticamente esta nueva tecnología para mejorar la experiencia de navegación de los dispositivos compatibles.
  • Una vez que se completa el proceso de certificación, el servidor sabe que la solicitud no es fraudulenta y es de una persona real.
  • Y los deja entrar sin CAPTCHA.

Hay mucho más en el proceso de lo que proporciona esta explicación un tanto simplificada. Por ejemplo, también protege contra solicitudes de acceso de dispositivos o bots comprometidos. Si desea profundizar un poco más, los desarrolladores pueden consultar esta presentación de Apple, esta nota sobre Cloudflare, otra de Fastly y la introducción de Google a una tecnología similar llamada Chrome Trust Tokens. Finalmente, para una inmersión más profunda, este artículo describe la arquitectura del sistema y brinda a los desarrolladores de Apple detalles adicionales para ayudar a implementar/soportar la característica.

¿Qué futuro tiene esta tecnología en Apple?

Es posible que los probadores beta de iOS 16, iPad OS 16 y macOS Ventura de Apple ya estén descubriendo la tecnología si van a un sitio o servicio que ya admita la tecnología, pero a menos que realmente no les gusten las consultas CAPTCHA, probablemente no se darán cuenta. . Por supuesto, con el tiempo veremos que más y más sitios y servicios introducen soporte, con la mayoría de los desarrolladores de Apple eligiendo iCloud para la certificación y terceros, incluidos los proveedores de tecnología CAPTCHA existentes, integrando probablemente soporte para tokens de acceso privado en sus sistemas.

Esta tecnología está lejos de ser la única mejora de seguridad y privacidad anunciada por Apple en la WWDC. La compañía discutirá herramientas hoy para asegurar aún más la seguridad del DNS dentro de una aplicación, y también ha presentado la tecnología de autenticación de próxima generación, Passkeys. Las claves de acceso son una forma altamente segura de acceder a sitios y servicios. La compañía también implementó algunas mejoras impresionantes de seguridad y privacidad en Safari, incluida una protección más sólida contra las vulnerabilidades de secuencias de comandos entre sitios. Más sobre eso aquí.

Lo que dicen Fastly y Cloudflare

Jana Iyengar, Gerente de Producto, Servicios de Infraestructura en Fastly, explicó:

“Fastly se enorgullece de invertir, comprometerse y crear tecnologías y productos que ejemplifican nuestra creencia de que la seguridad y la privacidad son esenciales para una Internet más confiable. Estamos trabajando activamente con nuestros socios en la comunidad de estándares para agregar más funcionalidades a los tokens de acceso privado, como la limitación de velocidad para la protección de medios y certificaciones para más propiedades de clientes. Hay algunas aplicaciones potenciales interesantes para esta tecnología: piense en lo que podría hacer con la garantía criptográfica que expone solo y exactamente lo que un sitio web necesita saber sobre un usuario, como su edad. Proporcionar una garantía explícita sobre este tipo de flujo de datos puede proteger tanto a los usuarios como a los sitios web.

Reid Tatoris y Maxime Guerreiro de Cloudflare escribieron:

«Este es solo el primer paso para nosotros. Estamos trabajando activamente para lograr que otros clientes y fabricantes de dispositivos también usen el marco PAT. Cada vez que un nuevo cliente comience a usar el marco PAT, el tráfico de su sitio desde este cliente comenzará automáticamente. solicitando tokens, y sus visitantes verán automáticamente menos CAPTCHA. Muy pronto integraremos PAT en otros productos de seguridad.

Lo que esto significa para usted y su negocio

Junto con las muchas otras soluciones de Apple para proteger la privacidad en línea, la intención de la industria de hacer que sea cada vez más difícil correlacionar los datos del dispositivo con la identidad personal significa que tomar huellas dactilares debería ser cosa del pasado. Los capitalistas de la vigilancia que comercian con datos personales exfiltrados de personas sin consentimiento expreso seguramente tendrán que cambiar sus modelos de negocios, y deberían hacerlo.

En conjunto, estos cambios deberían brindar beneficios extraordinarios a todos los usuarios al tiempo que establecen escudos adicionales para que las empresas puedan protegerse contra los intentos sofisticados de recopilar datos personales para socavar la seguridad de los puntos finales o penetrar en las redes.

Follow me on Twitter or join me at AppleHolic's bar & grill and the Apple discussion groups on MeWe.

Copyright © 2022 IDG Communications, Inc.

Share This