內容傳遞網絡 CDN 及分散式域名解析服務 DDNS 供應商 Cloudflare ,宣布推出一種用來取代 CAPTCHA 機制以識別使用網站服務者為人類的驗證 API「Turnstile」,令人類每日可以節省 500 年時間來證明自己。
一直以來,網站都是倚靠名為「CAPTCHA(全自動區分電腦和人類的圖靈測試)」的機制來識別訪問者是人類,阻擋機械人濫用服務資源。不過 Cloudflare 就指 CAPTCHA 驗證碼既無效率又不尊重私隱,令人類每日花費相當於 500 年時間,是減慢網絡速度的原因之一。
過去 CAPTCHA 驗證碼是利用扭曲了的文字以至多張圖片來判斷,目的是要做到電腦難以解答但人類就「應該」可以輕易解答。不過實際上多款 CAPTCHA 測試早已被駭客破解,亦有一些如 Google reCAPTCHA 會收集訪問者資料。此外,CAPTCHA 問題假設正常人類能解答的做法從可及性方面來看也備受批評。
Cloudflare 推出的驗證 API「Turnstile」是一種隱形的驗證方式,以一些有人在操作的訊號來作為判斷標準。它會先進行一系列細小的非互動 JavaScript 挑戰來收集更多有關訪問者和瀏覽器環境的訊號,包括工作證明、空間證明、探測網絡 API 和其他感測瀏覽器特徵和人類行為的挑戰。所得結果就用來對特定請求調整問題難度,向機械人發出更難的挑戰問題。Turnstile 亦用上了機械學習模型,來感測之前能通過驗測的訪問者的共通特徵。
完全免費簡單步驟取代 CAPTCHA
使用 Turnstile API 是免費的,網站開發者只要開設一個免費帳戶來取得網站金鑰和密鑰,然後從 Cloudflare 網站拷貝一些 JavaScript 程式碼取代原有 CAPTCHA 程式碼,最後以 Cloudflare 的驗證網址來取代舊有驗證網址即可使用。
換上 Turnstile 之後,網站管理員更可以在 Cloudflare 看到有關驗證的統計,看看每日有多少人類和機械人到訪。
支援 Apple 私人訪問令牌
Apple 在 6 月 WWDC 時發表 iOS 16 加入私人訪問令牌,以自動驗證用戶。Turnstile 就直接內嵌了私人訪問令牌,減少收集資料自動完成驗證工作。
Cloudflare 指現時 Turnstile 的準確程度與以往 CAPTCHA 差不多,並指採用了這技術之後 Cloudflare 本身已減少 CAPTCHA 使用量達 91% ,而由於使用非對話型驗證,令過往訪問者平均花費 32 秒來驗證的時間減少至約 1 秒,成效顯著。