Podczas logowania się do witryny internetowej lub wprowadzania poufnych informacji czasami możesz zostać poproszony o kliknięcie pola wyboru, dopasowanie obrazów lub wpisanie losowej serii cyfr i liter.

Jest to znane jako CAPTCHA . Został zaprojektowany, aby powstrzymać nieludzkie zachowania w Internecie. Ale co to właściwie oznacza? I czy CAPTCHA z jednym krokiem tak prostym, jak zaznaczenie pola, naprawdę powstrzyma boty przed wykonywaniem działań online?

Przyjrzyjmy się dokładniej, czym jest CAPTCHA i jak służy do zapewnienia bezpieczeństwa w Internecie.

Co to jest CAPTCHA?^{(What Is CAPTCHA?)}

CAPTCHA to dziwny akronim oznaczający dość łatwe do zrozumienia zdanie – oznacza C ompletely A utomated P ublic Tur ^(T)ing ^(C)test^(A) , aby powiedzieć komputerom i ludziom^(H) część.

Zasadniczo CAPTCHA , jak znamy to w Internecie, jest zautomatyzowanym testem mającym na celu określenie, czy użytkownik jest człowiekiem, czy botem. Botem może być zautomatyzowane oprogramowanie zaprojektowane do publikowania spamowych komentarzy online, strony logowania typu brute force za pomocą serii haseł, a może oprogramowanie, które próbuje automatycznie wyłuskiwać informacje z innych witryn. Za pomocą CAPTCHA można powstrzymać boty przed wykonywaniem takich zautomatyzowanych zachowań.

CAPTCHA może być naprawdę wszystkim, o ile może używać jakiegoś rodzaju testu, który można zdać tylko myśląc jak człowiek. W przeszłości najczęstszym typem CAPTCHA była seria pomieszanych liter i cyfr, które użytkownicy wpisali, aby zdać test.

Litery zostały narysowane prawie nieodpowiednią czcionką, co bardzo utrudnia odczytanie ich przez zautomatyzowane oprogramowanie. Udało się, ale wraz ze wzrostem mocy sztucznej inteligencji oferowane przez nią bezpieczeństwo było wątpliwe w miarę upływu lat.

Obecnie najczęściej spotykanym w Internecie obrazem CAPTCHA^(CAPTCHA) jest od Google , o nazwie re CAPTCHA . Istnieją alternatywy, ale możemy użyć Google jako wyjaśnienia, jak to wszystko działa.

Rodzaje reCAPTCHA i czy one działają?^{(The Types Of reCAPTCHA & Do They Work?)}

Google przeszedł teraz przez trzy główne iteracje oprogramowania reCAPTCHA. Przyjrzyjmy się, jak poszczególne wersje różnią się od siebie i jak działają, aby zatrzymać boty.

reCAPTCHA v1 – tradycyjny test tekstowy^{(– Traditional Text Test)}

Oryginalny reCAPTCHA v1 może teraz wyglądać nostalgicznie, a to dlatego, że nie jest już używany, nie bez powodu. Ta metoda wymagałaby od użytkowników wpisywania słów poprzez czytanie i przepisywanie tego, co zobaczyli na ekranie. Tekst był zawsze trudny do odczytania, próbując powstrzymać roboty przed złamaniem go.

Ostatecznie ten poziom CAPTCHA nie zapewniał zbyt długo ochrony, a przy tak frustrującym systemie denerwował użytkowników i powodował utratę ruchu wielu właścicieli witryn.

Gdy wkroczyliśmy w erę mobilnych i słabnących możliwości skupienia uwagi, Google chciał stworzyć lepsze rozwiązanie i tym samym reCAPTCHA v1 została porzucona i narodziła się v2.

reCAPTCHA v2 – pole wyboru nie jestem robotem^{(Robot Checkbox)}

reCAPTCHA v2 był ogromnym krokiem we właściwym kierunku. Dzięki reCAPTCHA v2 oprogramowanie Google zwróci uwagę na naciśnięcia klawiszy i sposób poruszania się myszy, aby określić, czy jesteś robotem, czy nie.

Z każdą interakcją na stronie internetowej z reCAPTCHA v2, oprogramowanie dowie się więcej o tym, czym jest ludzkie zachowanie, a czym nie, dzięki czemu będzie dokładniejsze w miarę uczenia się. Jeśli Twoje zachowanie jest ludzkie, wystarczy, że klikniesz pole wyboru.

Jeśli zostaniesz oznaczony jako podejrzany, zostaniesz poproszony o kliknięcie pasujących zdjęć na zdjęciu. Jest to test, który daje użytkownikowi końcowemu zaledwie 55 sekund na rozwiązanie. W przypadku bota wydaje się to trudne, a Google wydaje się wspierać go w celu ochrony stron internetowych przed botami. Jednak wyszukiwanie w Google ujawni wszelkiego rodzaju badania, testy i oprogramowanie, które twierdzą, że zepsuli system za pomocą bota.

Podsumowując, reCAPTCHA v2 zatrzyma boty, spowolni boty, być może do tego stopnia, że nie warto próbować, ale nie zawsze może powstrzymać zmotywowaną osobę lub organizację.

reCAPTCHA v3 – Ukryty CAPTCHA

reCAPTCHA 3 różni się od wyżej wymienionych opcji. Zamiast przeprowadzać test w celu ustalenia, czy użytkownik jest botem, czy nie, reCAPTCHA będzie monitorować interakcję użytkownika z witryną, aby przyznać mu ocenę.

Ten wynik będzie wykorzystywał różne czynniki, takie jak sposób poruszania się po witrynie lub strony, które odwiedzają jako pierwsze, i potwierdzi to wcześniejszymi danymi.

Właściciel witryny może następnie skonfigurować reCAPTCHA v3, aby zablokować lub odmówić użytkownikowi dostępu w zależności od jego poziomu wyniku. Alternatywnie można go skonfigurować tak, aby działania były dławione lub ograniczane przez krótki czas, wpisy są wysyłane do kolejek moderacji lub wymagane jest dodatkowe uwierzytelnianie.

Po raz kolejny prowadzone są badania, aby spróbować złamać reCAPTCHA v3^{(try to crack reCAPTCHA v3)} . Tym razem jednak naukowcy chcą stworzyć sztuczną inteligencję, która może odwiedzać stronę internetową i wykonywać na niej działania jak najbardziej ludzkie, aby przejść niewidzialne testy CAPTCHA .

Czy więc CAPTCHA faktycznie działa?^{(So Does CAPTCHA Actually Work?)}

Do tej pory jedno było jasne – badania wykazały, że CAPTCHA , czyli re CAPTCHA , nie powstrzymuje wszelkiej pozaludzkiej aktywności. Jednak poważnie ogranicza ruch botów i zatrzymuje większość z nich. W tym sensie możemy powiedzieć, że CAPTCHA działa, nawet jeśli nie ma 100% wskaźnika sukcesu.

Być może sztuczna inteligencja stanie się mądrzejsza i będzie mogła zachowywać się bardziej ludzko, ale w takim przypadku Google porzuci ponownie CAPTCHA v4, lub inni programiści CAPTCHA wydadzą coś nowego.

To jak niekończąca się gra w kotka i myszkę. Ostatecznie strona internetowa znacznie lepiej radzi sobie z CAPTCHA i może zmniejszyć aktywność botów z tysięcy do prawie minimalnych kwot.

HDG Explains: What Is CAPTCHA & How Does It Work?

When signing intо a website online, or entering sensitive information, you may sometimes bе aѕked to сlick a tick box, matсh images together, or type in a random series of numbers and letters.

This is known as a CAPTCHA. It’s designed to stop non-human behavior online. But what does that actually mean? And can a CAPTCHA with one step as simple as ticking a box really stop bots from performing actions online?

Let’s take a deeper look into what CAPTCHA is and how it is used to bring security throughout the internet.

What Is CAPTCHA?

CAPTCHA is a strange acronym for a pretty easy to understand sentence – it stands for Completely Automated Public Turing test to tell Computers and Humans Apart.

So, essentially CAPTCHA, as we know it online, is an automated test to determine whether a user is a human or a bot. A bot could be automated software designed to post spam comments online, brute force login pages with a series of passwords, or perhaps software that tries to automatically scrape information from other websites. By using a CAPTCHA, bots can be stopped from performing automated behavior like this.

A CAPTCHA could really be anything, so long as it can use some kind of test that can only be passed by thinking like a human. In the past, the most common type of CAPTCHA would be a series of jumbled letters and numbers that users would type to pass the test.

The letters were drawn with almost ineligible font, to make it very hard for any type of automated software to read it. It worked, but with AI getting more powerful, the security it offered was questionable as the years went on.

These days, the most common CAPTCHA you will see online is from Google, called reCAPTCHA. There are alternatives, but we can use Google’s as an explanation of how it all works.

The Types Of reCAPTCHA & Do They Work?

Google has gone through three major iterations of the reCAPTCHA software now. Let’s take a look at how each version differs from each other and how they work to stop bots.

reCAPTCHA v1 – Traditional Text Test

The original reCAPTCHA v1 may look nostalgic to you now, and that’s because it’s not used anymore, for good reason. This method would require users to type words by reading and rewriting what they saw on the screen. The text was always hard to read, in an attempt to stop bots from cracking it.

Ultimately, this level of CAPTCHA didn’t provide much protection for long, and with such a frustrating system, it annoyed users and lost many website owners traffic.

As we moved into the era of mobile and weakening attention spans, Google wanted to create a better solution and thus, reCAPTCHA v1 was scrapped and v2 was born.

reCAPTCHA v2 – I’m Not a Robot Checkbox

reCAPTCHA v2 was a huge step in the right direction. With reCAPTCHA v2, Google’s software will pay attention to your key presses and the way your mouse is moving to determine whether you are a robot or not.

With every interaction on a website with reCAPTCHA v2, the software will learn more about what human behavior is and isn’t, making it more accurate as it learns. If your behavior is humanlike, you’ll get through with just clicking the checkbox.

If you get flagged as suspicious, you’ll be asked to click matching pictures on a photo. This is a test that gives the end user just 55 seconds to solve. For a bot, this would seem tricky, and Google seem to stand by it for protecting websites against bots. However, a Google search will reveal all sorts of studies, tests, and software that claim they’ve broken the system with a bot.

In summary, reCAPTCHA v2 will stop bots, it will slow down bots, perhaps to the point where it’s not worth trying, but it may not always stop a motivated individual or organisation.

reCAPTCHA v3 – Hidden CAPTCHA

reCAPTCHA 3 is different to the aforementioned options. Instead of serving a test to determine whether a user is a bot or not, reCAPTCHA will monitor a user’s interaction with a website to give that user a score.

That score will use varying factors, such as how they move around the site, or what pages they visit first, and back that up with previous data.

A website owner can then set up reCAPTCHA v3 to either block or deny a user access depending on their score level. Alternatively, it can be set up so that actions are throttled or limited for a short time, posts are sent to moderation queues, or secondary authentication is required.

Once again, there are studies being done to try to crack reCAPTCHA v3. This time, though, researchers are looking to create an AI that can visit a webpage and perform actions there as humanlike as possible to pass the invisible CAPTCHA tests.

So Does CAPTCHA Actually Work?

So far, one thing has been clear – research has shown that CAPTCHA, or reCAPTCHA, does not stop all non-human activity. However, it does severely limit bot traffic and stop the majority of it in its tracks. So, in that sense, we can say that CAPTCHA works, even if it doesn’t have a 100% success rate.

Perhaps AI will get smarter and will be able to act more human like, but in that case, Google will drop reCAPTCHA v4, or other CAPTCHA developers will release something new.

It’s like an endless game of cat and mouse. Ultimately, a website does much better to have CAPTCHA and it can reduce bot activity from the thousands into almost minuscule amounts.

Natan Ostrowski

About the author

Jestem inżynierem sprzętu i programistą z ponad 10-letnim doświadczeniem na platformach Apple i Google. Moje umiejętności polegają na tworzeniu wydajnych, przyjaznych dla użytkownika rozwiązań trudnych problemów inżynierskich. Miałem doświadczenie z urządzeniami MacOS i iOS, a także sterowaniem klawiaturą i myszą. W wolnym czasie lubię pływać, oglądać tenisa i słuchać muzyki.

HDG wyjaśnia: Co to jest CAPTCHA i jak to działa?

Co to jest CAPTCHA?^{(What Is CAPTCHA?)}