Tokens de acesso privado - Num relance

O que são private access tokens (PAT)?

Os tokens de acesso privado são uma tecnologia que valida os dispositivos dos utilizadores sem revelar dados pessoais.

Vantagens do private access tokens

Os tokens de acesso privado melhoram a privacidade, a acessibilidade e a experiência do utilizador, reduzindo os desafios tradicionais e a fricção do consentimento.

Os tokens de acesso privado podem complementar os CAPTCHA

Como têm mecanismos de segurança diferentes, os private access tokens e os CAPTCHA devem ser utilizados como medidas de segurança complementares.

Compatibilidade do Friendly Captcha com o private access tokens

À medida que o suporte da plataforma amadurece, o Friendly Captcha incorporará o private access tokens juntamente com os seus sinais de risco e mecanismos de segurança de prova de trabalho para melhorar a proteção. Experimentar agora ›

Nos últimos anos, a privacidade e a segurança na Internet tornaram-se preocupações importantes tanto para os indivíduos como para as empresas. Os utilizadores querem navegar e aceder livremente aos conteúdos sem que os seus dados sejam recolhidos ou localizados. Entretanto, os proprietários de sítios Web necessitam de formas de validar que os visitantes do sítio são verdadeiros utilizadores humanos e não bots ou atacantes. Tradicionalmente, esta situação levou ao aparecimento dos CAPTCHA - os Verificações "Não sou um robot" que incomodam os utilizadores e prejudicam a acessibilidade.

Agora, uma nova tecnologia denominada Tokens de Acesso Privado (PATs) pretende resolver este problema. Os PATs permitem aos utilizadores provar a sua autenticidade sem revelar informações pessoais ou completar desafios CAPTCHA. Nesta publicação, vamos analisar exaustivamente o funcionamento dos PATs, incluindo as suas vantagens e limitações e a sua falta de capacidade para distinguir entre bots e humanos. Consideraremos o que o futuro reserva para esse padrão emergente quando combinado com estratégias de prova de trabalho mais abrangentes fornecidas pelo Friendly Captcha.

O que são Tokens de Acesso Privado e como funcionam?

Os Tokens de Acesso Privado são tokens criptográficos que podem ser utilizados para validar utilizadores e dispositivos sem recolher ou partilhar dados de identificação. São uma extensão do protocolo Privacy Pass atualmente a ser normalizado pela IETF.

Na arquitetura PAT estão envolvidas quatro partes principais:

  • Cliente - O navegador ou a aplicação do utilizador que faz os pedidos.
  • Mediador - Uma entidade que autentica o cliente e solicita tokens, normalmente o fornecedor do dispositivo/plataforma.
  • Emissor - Gera e assina os PATs após a verificação dos pedidos.
  • Origem - O sítio Web ou a aplicação a que o cliente está a aceder.

Segue-se uma visão geral das etapas envolvidas quando um cliente solicita acesso a um sítio Web de origem:

  1. O sítio de origem devolve um código de estado 401, pedindo ao cliente que apresente um PAT válido.
  2. O browser ou a aplicação do cliente reencaminha este pedido para o mediador juntamente com a autenticação.
  3. Depois de o mediador ter verificado a autenticidade do cliente, envia um pedido de token anónimo ao emissor.
  4. O emissor verifica se o pedido cumpre as políticas da origem. Em caso afirmativo, assina criptograficamente um PAT e devolve-o ao mediador.
  5. O mediador reencaminha o PAT para o cliente.
  6. O cliente envia o PAT para a origem nos seus cabeçalhos de pedido.
  7. Se a assinatura PAT for verificada com êxito, a origem permite que o cliente aceda ao recurso protegido.

Esta abordagem de token permite que a validade do utilizador seja confirmada sem que a origem veja os detalhes de identificação. Os próprios PATs não revelam nada sobre a identidade do cliente. Da mesma forma, o mediador e o emissor não podem correlacionar os tokens com sítios específicos visitados. Pode ser encontrado um artigo interessante sobre os PATs, que não são totalmente acríticos aqui.

Vantagens dos Tokens de Acesso Privado

Os PATs oferecem uma série de vantagens iniciais, tanto para os utilizadores finais como para os proprietários dos sítios:

  • Melhoria da privacidade - Os utilizadores não têm de expor informações pessoais nem de ser rastreados entre sites. Os dados permanecem compartimentados entre o mediador, o emissor e a origem.
  • Melhor acessibilidade - Elimina a necessidade de CAPTCHAs visuais que causam dificuldades aos utilizadores com deficiência.
  • UX mais suave - Acabaram-se os avisos e atrasos irritantes do CAPTCHA para os utilizadores legítimos.
  • Adoção mais fácil - Os sítios Web não têm de criar ou manter SDKs personalizados. A validação é efectuada de forma transparente.
  • Otimização móvel - As aplicações podem validar os utilizadores sem CAPTCHAs que não funcionam bem em ecrãs pequenos.
  • Resistência dos bots - Os PATs indicam que os pedidos provêm de dispositivos autênticos e não de bots ou emuladores.

Quando implementados corretamente, os PAT permitem uma experiência de utilizador sem atritos, sem sacrificar a segurança. Plataformas tecnológicas como a Apple e a Google estão a colaborar ativamente para normalizar e promover a adoção desta tecnologia.

Preocupações e limitações dos tokens de acesso privado

No entanto, subsistem alguns desafios e questões em aberto relativamente à utilização das PAT:

  • Parcial Apoio ao cliente - Atualmente, os PATs só funcionam no iOS 16+ e no MacOS Ventura+ até que outras plataformas sejam suportadas. A nível global, a maioria dos utilizadores ainda não os pode utilizar. O Firefox para computadores de secretária, com uma quota de mercado de 15% na UE, tem uma posição oficial de "adiamento", enquanto se aguarda o desenvolvimento de mais especificações para os controlos de privacidade.
  • Solução parcial - Os PATs sinalizam a autenticidade, mas não determinam definitivamente a humanidade. Ainda são necessários sinais adicionais. Os bots continuarão a funcionar em hardware genuíno da Apple ou da Google com uma conta iCloud ou Google. Os bots podem ainda aparecer noutros browsers populares, como o Firefox.
  • Reputação do mediador - Os emissores dependem de mediadores que examinam minuciosamente as identidades dos clientes. Um mediador fraco pode permitir abusos, ou pior, vários mediadores fracos.
  • Identidades múltiplas - A arquitetura PAT não impõe fortes restrições à definição da identidade de um Cliente e permite que esta seja inteiramente definida por um Mediador. Se um utilizador puder criar um número arbitrário de identidades de Cliente que sejam aceites por um ou mais Mediadores, um utilizador mal-intencionado pode facilmente abusar do sistema para derrotar a capacidade do Emissor de aplicar políticas por Cliente.
  • Capacidade de ligação - Embora difícil, a correlação PAT por factores de impressão digital pode ainda ser possível. Por exemplo, podem ser utilizadas várias chaves para segmentar utilizadores com granularidade arbitrária, até que a especificação limite o número de chaves que um servidor pode utilizar.
  • Configurabilidade - Os sítios têm de determinar quais os pontos finais que justificam a validação e proteção PAT. Um utilizador que aceda a qualquer página protegida será submetido ao aperto de mão PAT inicial, criando uma latência notória que poderá ter um impacto financeiro devido a uma má experiência do utilizador e a uma classificação SEO/SERP mais fraca.
  • Acumulação de fichas - À medida que a utilização de PAT aumenta, podem ser necessárias restrições como limites de dispositivos para evitar a acumulação de tokens. Uma vez que os PATs são tokens anónimos e reutilizáveis, não permanentemente ligados a utilizadores ou dispositivos específicos, um atacante pode potencialmente obter uma grande reserva de PATs válidos através de vários meios maliciosos. O atacante poderia então distribuir estes tokens acumulados a um exército de bots ou dispositivos comprometidos, permitindo-lhes contornar controlos de acesso protegidos por PAT em sítios Web em grande escala, uma vez que os sítios não têm forma de identificar a fonte ilegítima dos tokens. Esta ameaça de acumulação de tokens realça a necessidade de implementar os PATs cautelosamente, juntamente com outros sinais robustos de deteção e defesa de bots, em vez de confiar excessivamente nos PATs como um único sinal passivo que pode ser utilizado abusivamente para ultrapassar os controlos de acesso.

Embora promissores, os PAT não são uma solução mágica contra todos os bots, fraudes e abusos. Se forem implementados judiciosamente juntamente com outras medidas de segurança, podem melhorar a privacidade do utilizador sem abrir vulnerabilidades significativas. Mas a confiança nos PAT como único sinal pode acabar por prejudicar os objectivos de segurança.

Friendly Captcha: A nossa perspetiva sobre os Tokens de Acesso Privado

Na Friendly Captcha, reconhecemos os potenciais benefícios dos Tokens de Acesso Privado. No entanto, dado o estado nascente desta tecnologia, acreditamos que é necessária uma abordagem cautelosa.

Num futuro próximo, os nossos produtos continuarão a basear-se principalmente nas capacidades estabelecidas de prova de trabalho e de deteção de bots, recorrendo às PAT como mais um sinal, conforme necessário. À medida que a adoção de PAT se espalha, planeamos integrar seletivamente o suporte para reduzir o atrito para os utilizadores de clientes suportados. No entanto, garantiremos que os fluxos críticos, como a inscrição na conta e o login, mantenham métodos de validação robustos, incluindo impressões digitais do lado do servidor e modelos de ML adaptáveis.

Além disso, estamos a acompanhar de perto os desenvolvimentos em torno da norma PAT, os cenários dos emitentes e as melhores práticas dos mediadores. Queremos incentivar a evolução responsável dessa tecnologia antes de adotá-la totalmente. À medida que as PATs se tornarem mais testadas e capazes de impedir ataques sofisticados em escala, expandiremos nossa integração e uso de acordo.

Em resumo, estamos entusiasmados com o potencial das PATs, mas sentimos que é necessário mais aprendizagem e rigor em relação à eficácia, segurança e impacto na privacidade no mundo real. Se tomarmos agora uma posição prudente, podemos implementar as PAT com segurança ao longo do tempo sem colocar os nossos clientes ou utilizadores em risco indevido.

O roteiro PAT do Friendly Captcha

Eis algumas das principais áreas de concentração à medida que continuamos a explorar a adoção de PAT:

  • Experimentar protótipos de integrações em contextos de baixo risco para ganhar experiência prática.
  • Desenvolvimento de estratégias para utilizar seletivamente as PAT nos fluxos de utilizadores, onde podem aumentar a privacidade sem comprometer gravemente a segurança.
  • Acompanhar de perto o processo de normalização e estar atento a quaisquer indícios de vulnerabilidades ou explorações.
  • Avaliação de diferentes emitentes e mediadores para determinar as melhores parcerias.
  • Explorar complementos emergentes, como a estrutura de Tokens de Estado Privado da Google, que acrescentam adaptabilidade.
  • Monitorizar a expansão do apoio ao cliente para avaliar a viabilidade do PAT no mundo real através da nossa base de utilizadores.
  • Investigação de técnicas suplementares, como a limitação inteligente, para impedir o abuso de PAT.
  • Planeamento de campanhas de sensibilização para educar os clientes e os utilizadores sobre quando e porquê as PAT podem ser aplicadas.

O nosso plano de ação consiste em aumentar judiciosamente a utilização da PAT de acordo com o aumento do suporte da plataforma e a segurança comprovada à escala. Queremos que os clientes e os utilizadores usufruam das vantagens sem riscos desnecessários.

Conclusão: O caminho a seguir para os Tokens de Acesso Privado

Os Tokens de Acesso Privado têm o potencial de melhorar significativamente a experiência do utilizador e a privacidade na Internet moderna. No entanto, a concretização deste potencial exigirá uma implementação responsável e uma maior maturação.

No Friendly Captcha acreditamos que o caminho a seguir é integrar as PATs lentamente, em vez de nos precipitarmos para uma dependência global das mesmas. Com uma utilização cautelosa que complemente métodos legados robustos, as PAT podem ser aproveitadas com segurança para melhorar a segurança e a privacidade ao longo do tempo.

Estamos empenhados em manter as necessidades dos clientes e os padrões éticos dos dados em primeiro plano ao longo deste processo. Os Tokens de acesso privado são um desenvolvimento promissor, mas garantir que são adoptados sem problemas será uma parceria contínua entre utilizadores, empresas e plataformas tecnológicas.

Proteja os seus sites e aplicações web com o Friendly Captcha: Experimente um novo nível de segurança em conformidade com a privacidade sem sacrificar a experiência do utilizador. Experimente o Friendly Captcha gratuitamente durante 30 dias e veja a diferença por si próprio. Comece hoje o seu teste gratuito

FAQ

Sim, os Tokens de Acesso Privado (PATs) são fundamentalmente seguros desde a sua conceção, tanto do ponto de vista da segurança como da privacidade. São construídos com base em normas criptográficas robustas e abertas para fornecer garantias sólidas sem comprometer os dados do utilizador.

Em resumo, os Tokens de Acesso Privado são uma tecnologia altamente segura e que aumenta a privacidade para combater os bots, mas a sua eficácia numa implantação real depende de uma estratégia de segurança holística que os combine com outros sinais antifraude, como o Friendly Captcha, e que garanta alternativas robustas para todos os utilizadores.

Quando o dispositivo ou o browser de um utilizador não suporta Tokens de Acesso Privado (PATs) - o que é atualmente comum, uma vez que os PATs são uma tecnologia nova e emergente - o sistema tem de recorrer a uma forma alternativa de verificação do utilizador.

Se uma combinação de browser e sistema operativo não conseguir gerar ou utilizar um Token de Acesso Privado válido, o sistema reverte para o próximo melhor método de verificação
As alternativas que respeitam a privacidade, como o Friendly Captcha, pretendem evitar totalmente os CAPTCHA tradicionais de imagens ao estilo do Google, uma vez que estes são hostis para o utilizador e requerem frequentemente uma extensa recolha de dados.

Prevenir o abuso de Tokens de Acesso Privado (PATs) envolve uma estratégia de segurança em várias camadas que combina salvaguardas robustas fornecidas pelo fornecedor com práticas operacionais sensatas por parte do operador do sítio Web. Encontre no Friendly Captcha uma solução gerida de proteção contra bots, que funciona para si.

Os Tokens de Acesso Privado (PATs) funcionam melhor como parte de uma estratégia de segurança e anti-fraude a vários níveis. Constituem um forte sinal “humano vs. bot”, mas devem ser combinados com outras medidas para uma proteção completa.

Uma vez que os PATs não são universalmente suportados por todos os browsers e dispositivos, são essenciais alternativas fiáveis para evitar a exclusão de utilizadores legítimos. As soluções CAPTCHA modernas, como o Friendly Captcha, utilizam um mecanismo PoW do lado do cliente como backup, que pede ao dispositivo do utilizador para resolver um simples puzzle criptográfico. Este mecanismo não rastreia dados pessoais, mas verifica a legitimidade do dispositivo.

Os Tokens de Acesso Privado (PATs) são uma tecnologia de reforço da privacidade que permite a um utilizador provar que é um ser humano real num dispositivo genuíno e não comprometido, sem revelar a sua identidade ou ser rastreado nos sítios Web. Servem como um substituto moderno e anónimo para CAPTCHAs tradicional.

A principal diferença é que os CAPTCHA requerem uma interação humana ativa, muitas vezes incómoda, e recolhem dados pessoais para verificação, enquanto os Tokens de Acesso Privado (PAT) verificam a humanidade de um utilizador de forma automática e privada em segundo plano, eliminando a necessidade de introdução do utilizador e de recolha de dados.

Em suma, os PATs são concebidos para fornecer a mesma função de segurança que os CAPTCHAs (distinguir humanos e bots), mas de uma forma que respeite a privacidade do utilizador, seja perfeita e melhore a experiência geral na Web. Escolha o Friendly Captcha como o melhor substituto do PAT.

Proteja o seu enterprise contra ataques de bots.
Contacte a equipa Friendly Captcha Enterprise para saber como pode defender os seus sites e aplicações contra bots e ataques informáticos.
Contactar-nos '