吳明宜iPhone 和 Mac 電腦用戶很快就可以擺脫網站 CAPTCHA 的身份驗證測試了。解決方法是 Private Access Tokens(PAT) 。
《MacRumors》報導,蘋果將率先在 iOS16 及 iPadOS 16 導入這項新技術並預設開啟,之後加入 macOS Ventura 。蘋果是在本月稍早的 WWDC 2022 上公佈這項技術。
PAT 的目的在減少使用 CAPTCHA 。 iOS 16 現在已經在測試版中加入 PAT,預計今年秋天正式推出。
Google 和其他業者使用 CAPTCHA(Completely Automated Public Turing) 測試以分辨登入者的電腦機器人程式還是人類,目的在防止機器人程式登入新帳號或存取服務。雖然有助於減少假性呼叫,但在登入服務前還得在小小的圖片尋找並點選物件,既不便又痛苦。
一如蘋果在 WWDC 提及,CAPTCHA 也有隱私風險。為了簡化輸入 CAPTCHA 的複雜性,網頁伺服器經常使用追蹤或瀏覽器/裝置指紋。此外,用戶已經用密碼或 Face ID 解鎖裝置了,CAPTCHA 就顯得很多餘。
已經揚棄 CAPTCHA 的 Cloudflare 估計,每一天全球使用者要在 CAPTCHA 浪費 500 人年,只是為了證明我們是人類。
所幸不只有蘋果硬體使用 PAT 。蘋果和 Google 透過國際工程任務編組 (IETF) 隱私驗證工作小組推動了這個驗證標準,因此 Android 可望也會導入。不過這需要硬體業者的合作,目前 Google 也還未宣佈 Android 的 PAT 計畫。這個工作小組其他成員還有 Cloudflare 和 Fastly 。
在蘋果方面,PAT 也可強化 Safari 、郵件隱私防護 (Mail Privacy Protection) 及 iCloud Private Relay 。
PAT 協定使用一種名為 PrivateToken 的加密驗證方法,讓開發人員從使用者裝置呼叫令牌。網頁伺服器只能用令牌驗證裝置的有效性和 Apple ID,但不能用它發現使用者身份,或是在用戶瀏覽不同網站時辨識用戶端裝置,最大好處是用戶不再需要每一站都辛苦地點選圖片。
技術說明
蘋果解釋,當 iOS 或 macOS 終端以 HTTP 存取伺服器時,伺服器會利用 PrivateToken 驗證法回傳一項測驗,這可以證明發令牌者獲得伺服器信任。
當用戶端需要拿取令牌時,會聯繫 iCloud 驗證服務,傳送呼叫。這道呼叫已被「遮住雙眼」無法用於 CAPTCHA 解答。驗證服務接著利用存放在裝置上的安全隔離區 (Secure Enclave) 的憑證驗證裝置,驗證帳號是合法的。
iCloud 驗證服務還能限定呼叫次數以防範機器人,一旦終端裝置通過驗證,它就會傳送呼叫,向派發者要新令牌。後者接到呼叫時,它對終端一無所知,但因為它信任 iCloud 驗證服務,因此會簽發令牌。等終端接到令牌後,再執行「解盲」過程,使原始網頁伺服器可以驗證。最後,終端會向伺服器展示簽發的令牌,伺服器會檢查令牌是不是由派發者簽發,但不能用這個令牌辨識出這台裝置。
來源: ZDNet