ProtonBlog
Iscriviti con RSS

Presentiamo il CAPTCHA Proton

Condividi questa pagina

In Proton, lavoriamo sempre a nuove e innovative soluzioni per proteggere la privacy e i dati della comunità Proton. A volte ciò significa sviluppare servizi completamente nuovi, come il nostro programma Proton Sentinel, che combina l’IA e gli analisti di sicurezza umani per aumentare la sicurezza degli account degli utenti di alto profilo. Altre volte, significa prendere un’idea vecchia e darle una nuova svolta, come il nostro nuovo CAPTCHA personalizzato.

Nel nostro post Cosa sono i CAPTCHA?, abbiamo introdotto cosa sono i CAPTCHA, come funzionano e una roadmap per lo sviluppo futuro per mantenere i CAPTCHA all’avanguardia come prima linea di difesa contro bot e spammer su internet.

Anche in Proton, dobbiamo difendere il nostro sito web da bot e spammer. Tuttavia, esaminando le opzioni CAPTCHA disponibili, non eravamo soddisfatti, quindi abbiamo deciso di sviluppare il nostro. Il nostro obiettivo principale era fornire un sistema che non compromettesse la privacy, l’usabilità e l’accessibilità o la sicurezza. Se posizionassi queste tre priorità su un grafico, vorremmo che il nostro CAPTCHA fosse saldamente al centro.

Inoltre, costruire la nostra soluzione significava che potevamo risolvere gli attuali problemi di disponibilità dei CAPTCHA per i membri della comunità Proton nei paesi con problemi di internet limitato (ad esempio, Iran e Russia). A causa delle nostre esigenze uniche, il CAPTCHA Proton è il primo CAPTCHA al mondo con tecnologie anti-censura integrate.

Il nostro sistema offre le seguenti caratteristiche:

  • Costruito con un approccio privacy-first, pienamente conforme al GDPR
  • Adatto ai dispositivi mobili
  • Nessun servizio di terze parti
  • Supporto per il percorso alternativo, che consente l’accesso a chi si trova in paesi con restrizioni
  • Diverse difese:
    1. Prova di lavoro: Sfide computazionali con difficoltà regolabile.
    2. Sfide visive: Multiple sfide visive, inclusa la nostra sfida ispirata alle collisioni di particelle del CERN.
    3. Rilevamento bot che preserva la privacy
  • Supporto per i non vedenti

Il differenziale di Proton CAPTCHA risiede nella sua strategia di difesa multilivello, che combina sfide visive con la prova computazionale di lavoro. Perché entrambi? Mentre la prova computazionale di lavoro rende più “costoso” per gli attaccanti colpire un sito web, ciò non li ferma dal farlo. Le sfide visive, invece, sono ancora efficaci nell’arrestare la maggior parte degli attacchi.

Una strategia di difesa multilivello

Combinare sfide visive con prova computazionale di lavoro (PoW) nei sistemi CAPTCHA crea una barriera multilivello che offre i seguenti vantaggi:

  1. Difesa a più livelli: Combinare due tipi diversi di sfide fornisce una strategia di “difesa a più livelli”. Anche se un livello viene compromesso, l’altro fornisce comunque un grado di sicurezza.
  2. Difficoltà adattiva: La difficoltà del compito computazionale può essere regolata in base al comportamento sospetto. Ad esempio, se un utente fallisce più volte un CAPTCHA visivo, il successivo PoW può essere reso più impegnativo, rallentando i potenziali bot.
  3. Maggiore accessibilità: Per gli utenti con disabilità visive che trovano difficili i CAPTCHA tradizionali, la prova computazionale del lavoro offre un modo alternativo per verificarsi, fornendo comunque una protezione contro i bot.

Prova del lavoro

Inizializzare un CAPTCHA può essere un processo server oneroso, poiché è necessario generare la sfida visiva che implica l’elaborazione di immagini. Per proteggerci anche da attacchi a questo endpoint, aggiungiamo la prova del lavoro come linea di difesa per scoraggiare i bot che provano ad usare il nostro stesso sistema CAPTCHA contro di noi.

La prova del lavoro in generale sta diventando più popolare con mCaptcha(new window) e Friendly Captcha(new window) che emergono in questo campo. Tuttavia, fare affidamento solo su sfide computazionali come unica strategia di difesa è rischioso. Anche se queste sfide sono discrete, dipendono fortemente dal dispositivo dell’utente e dalle sue capacità (velocità del processore o memoria). Se un dispositivo è troppo lento, l’esperienza utente può essere subottimale, poiché potresti dover attendere molti secondi affinché le sfide si completino. D’altra parte, potenti server utilizzati da uno spammer non avrebbero difficoltà a risolvere queste sfide relativamente in fretta.

Per affrontare questo, abbiamo condotto test estensivi su una varietà di dispositivi internamente durante lo sviluppo del nostro sistema. Questo ci ha aiutato a calibrare le impostazioni di difficoltà appropriate per tutti i tipi di dispositivi. Se il nostro CAPTCHA osserva un alto numero di fallimenti nelle sfide visive, è progettato per aumentare il livello di difficoltà della sfida della prova del lavoro di conseguenza.

In questo modo, una botnet che può bypassare la prova iniziale del lavoro ma ha difficoltà con le sfide visive si troverà di fronte a calcoli sempre più complessi. Questa difficoltà crescente rende il processo più costoso per la botnet, ma le persone normali saranno in grado di superarlo rapidamente.

Sfide Visive

Il tipico CAPTCHA è una sfida visiva (o audio per i non vedenti). Con Proton CAPTCHA, abbiamo costruito un sistema modulare che supporta più tipi di sfida. Ci siamo prefissati di rendere il CAPTCHA almeno un po’ più divertente dei CAPTCHA tradizionali e abbiamo persino creato il nostro gioco a tema CERN. Attualmente, ne abbiamo due:

  1. Una sfida di allineamento del fascio: Inspirata alle nostre origini di collisione di particelle al CERN(new window), l’obiettivo è allineare due rettangoli che rappresentano una linea di fascio (da dove vengono sparate le particelle) affinché possano collidere. L’animazione finale vale lo sforzo, te lo promettiamo.
  1. Un puzzle 2D intuitivo: I nostri puzzle sono costruiti dinamicamente sul server utilizzando molte fotografie di base, alcune di dipendenti Proton, il resto da Unsplash(new window). Questo significa che è improbabile che vedrai due volte lo stesso puzzle.

Riepilogo

Proton CAPTCHA è già stato presentato a milioni di utenti negli ultimi mesi, con il 100% dei CAPTCHA di registrazione e accesso ora che utilizzano la nostra soluzione interna.

Tuttavia, questo è solo l’inizio del viaggio. Il nostro obiettivo è fornire un CAPTCHA accessibile, utilizzabile, che preserva la privacy e sicuro contro anche le minacce più avanzate. Di conseguenza, puoi aspettarti di vedere più innovazione in questo campo, con l’obiettivo di ridurre il peso del CAPTCHA per gli utenti reali rendendolo difficile per gli attaccanti abusare dei nostri servizi.

Non vediamo l’ora di ricevere il tuo feedback e suggerimenti! In futuro, potremmo anche considerare di renderlo disponibile a terze parti che tengono alla privacy tramite un’API. Per scoprire di più, puoi contattarci su enterprise@proton.me.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

en
Google is one of the biggest obstacles to privacy. The Big Tech giant may offer quick access to information online, but it also controls vast amounts of your personal or business data. Recently, more people are becoming aware of the actual price you
What to do if someone steals your Social Security number
en
If you’re a United States citizen or permanent resident, you have a Social Security number (SSN). This number is the linchpin of much of your existence, linked to everything from your tax records to your credit cards. Theft is a massive problem, whic
compromised passwords
en
Compromised passwords are a common issue and probably one of the biggest cybersecurity threats for regular people. How do passwords get compromised, and is there anything you can do to prevent it? * What does compromised password mean? * How do pa
Is WeTransfer safe?
en
  • Le basi della privacy
Is WeTransfer safe?
WeTransfer is a popular service used by millions worldwide to send large files. You may have wondered if it’s safe or whether you should use it to share sensitive files. We answer these questions below and present a WeTransfer alternative that may su
what is a dictionary attack
en
  • Le basi della privacy
What is a dictionary attack?
Dictionary attacks are a common method hackers use to try to crack passwords and break into online accounts.  While these attacks may be effective against people with poor account security, it’s extremely easy to protect yourself against them by usi
I furti di dati sono sempre più comuni. Ogni volta che ti registri a un servizio online, fornisci informazioni personali preziose per gli hacker, come indirizzi email, password, numeri di telefono e altro ancora. Purtroppo, molti servizi online non p