厭倦CAPTCHA圖片驗證嗎?iOS 16和MacOS Ventura有解法

iPhone和Mac電腦用戶很快就可以擺脫網站CAPTCHA的身份驗證測試了。解決方法是Private Access Tokens(PAT)。

iPhone和Mac電腦用戶很快就可以擺脫網站CAPTCHA的身份驗證測試了。解決方法是Private Access Tokens(PAT)。

《MacRumors》報導,蘋果將率先在iOS16及iPadOS 16導入這項新技術並預設開啟,之後加入macOS Ventura。蘋果是在本月稍早的WWDC 2022上公佈這項技術。

PAT的目的在減少使用CAPTCHA。iOS 16現在已經在測試版中加入PAT,預計今年秋天正式推出。

Google和其他業者使用CAPTCHA(Completely Automated Public Turing)測試以分辨登入者的電腦機器人程式還是人類,目的在防止機器人程式登入新帳號或存取服務。雖然有助於減少假性呼叫,但在登入服務前還得在小小的圖片尋找並點選物件,既不便又痛苦。

一如蘋果在WWDC提及,CAPTCHA也有隱私風險。為了簡化輸入CAPTCHA的複雜性,網頁伺服器經常使用追蹤或瀏覽器/裝置指紋。此外,用戶已經用密碼或Face ID解鎖裝置了,CAPTCHA就顯得很多餘。

已經揚棄CAPTCHA的Cloudflare估計,每一天全球使用者要在CAPTCHA浪費500人年,只是為了證明我們是人類。

所幸不只有蘋果硬體使用PAT。蘋果和Google透過國際工程任務編組(IETF)隱私驗證工作小組推動了這個驗證標準,因此Android可望也會導入。不過這需要硬體業者的合作,目前Google也還未宣佈Android的PAT計畫。這個工作小組其他成員還有Cloudflare和Fastly。

在蘋果方面,PAT也可強化Safari、郵件隱私防護(Mail Privacy Protection)及iCloud Private Relay。

PAT協定使用一種名為PrivateToken的加密驗證方法,讓開發人員從使用者裝置呼叫令牌。網頁伺服器只能用令牌驗證裝置的有效性和Apple ID,但不能用它發現使用者身份,或是在用戶瀏覽不同網站時辨識用戶端裝置,最大好處是用戶不再需要每一站都辛苦地點選圖片。

技術說明

蘋果解釋,當iOS或macOS終端以HTTP存取伺服器時,伺服器會利用PrivateToken驗證法回傳一項測驗,這可以證明發令牌者獲得伺服器信任。

當用戶端需要拿取令牌時,會聯繫iCloud驗證服務,傳送呼叫。這道呼叫已被「遮住雙眼」無法用於CAPTCHA解答。驗證服務接著利用存放在裝置上的安全隔離區(Secure Enclave)的憑證驗證裝置,驗證帳號是合法的。

iCloud驗證服務還能限定呼叫次數以防範機器人,一旦終端裝置通過驗證,它就會傳送呼叫,向派發者要新令牌。後者接到呼叫時,它對終端一無所知,但因為它信任iCloud驗證服務,因此會簽發令牌。等終端接到令牌後,再執行「解盲」過程,使原始網頁伺服器可以驗證。最後,終端會向伺服器展示簽發的令牌,伺服器會檢查令牌是不是由派發者簽發,但不能用這個令牌辨識出這台裝置。

來源: ZDNet

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416