Captcha: codes,
afbeeldingen en puzzels voor spambeveiliging

#

Captcha’s als spambescherming

"Spam will be a thing of the past in two years’ time!", verklaarde Bill Gates op het World Economic Forum in 2004 in Davos. Een blunder waar het internet vandaag de dag nog altijd om moet lachen en die de medeoprichter van Microsoft hoog laat eindigen op de lijst met de meest opzienbarende flaters in de IT-branche.

Zelfs Gates kon zich er in 2004 geen voorstelling van maken hoe spam zich in de volgende 12 jaar zou ontwikkelen. Er gaat voor de meeste internetgebruikers nog steeds geen dag voorbij zonder automatisch gegenereerde reclameberichten: hetzij in e-mailberichten, op hun favoriete blog, op social media kanalen, in de commentaarfunctie van een webshop of in het gastenboek van hun eigen homepage.

De sterke ontwikkeling van bots in de online wereld, bijvoorbeeld chatbots voor online communicatie, is ook bij spambots te zien. In feite worden spambots steeds slimmer. De doorgaans autonoom werkende computerprogramma’s doorzoeken het internet op formulieren en andere interactieve website-elementen om hun reclameboodschap op te plaatsen – en ontwijken daarbij moeiteloos geavanceerde anti-spamprocedures. Spam kan serieuze gevolgen hebben, en in bepaalde gevallen zelfs de nood voor een IT-disaster recovery plan oproepen.

Captcha’s zijn lange tijd gebruikt als spambescherming. Maar die hinderlijke testjes vormen tegenwoordig voor menselijke gebruikers vaak een groter probleem dan voor de uitgekiende spamprogramma’s. In feite bleek uit recente onderzoeken naar de captcha-technologie dat spambots bij het oplossen van captcha’s minder fouten maken dan mensen. Betekent dat het einde van de captcha-codes, beeldpuzzels en logicaraadsels? Wij geven je een overzicht van het gebruik van de captcha-technologie, vergelijken verschillende soorten captcha’s en laten zien welke alternatieven er zijn voor spambeveiliging.


Wat is een captcha?

Een captcha is een methode voor spambeveiliging. Het doel is om interactieve websites te beschermen tegen misbruik door automatisch gegenereerde bijdragen te filteren. Maar wat betekent captcha? Het acroniem staat voor ‘Completely Automated Public Turing test to tell Computers and Humans Apart’. In het Nederlands vertaald is een captcha dus een ‘geheel automatische openbare Turingtest om computers van mensen te onderscheiden’.

Al in 1950 stelde de IT’er Alan Turing een methode voor om het denkvermogen van kunstmatige intelligentie te testen. Volgens de computerpionier is een machine in staat het menselijke denkvermogen na te bootsen als het hem lukt met mensen te communiceren in een chat, zonder dat ze merken dat het om een computer gaat. 

De Turingtest werd opgenomen in de geschiedenis van het KI-onderzoek (kunstmatige intelligentie) en pas in 2014 slaagde een computerprogramma voor de test: als eerste machine ter wereld lukte het de supercomputer Eugene Goostman om meer dan 30 procent van een onafhankelijke jury gedurende minstens 5 minuten te misleiden. Eugene deed zich voor als een Oekraïense tiener met cavia’s als huisdieren, die de politiek incorrecte teksten van de Amerikaanse rapper Eminem wel kon waarderen. 

Hedendaagse computerprogramma's worden steeds complexer en intelligenter, en overstijgen in bepaalde gevallen het menselijke denkvermogen al, bijvoorbeeld bij predictive analytics. Wat klinkt als sciencefiction is tegenwoordig een van de grootste problemen van het internet. Voor interactieve websites is het heel belangrijk om in het kader van Human Verification menselijke websitebezoekers te kunnen onderscheiden van computerprogramma’s. Steeds geavanceerdere captcha’s moeten helpen om automatische spam en clickrobots (bots) te pareren.


Waarvoor dienen captcha’s?

Captcha’s worden meestal gebruikt wanneer webapplicaties input van gebruikers vereisen. Stel je voor dat je een online shop hebt en jouw klanten de mogelijkheid geeft met een commentaarfunctie productreviews te schrijven. In dat geval wil je zeker weten dat de commentaren echt van je klanten, of ten minste van menselijke bezoekers van je website, afkomstig zijn. Vaak zal je echter automatisch gegenereerde spamcommentaren tegenkomen – in het ergste geval met links naar de concurrentie.

Dit risico kun je verkleinen door onlineformulieren te beveiligen met een captcha, waarmee de gebruiker eerst moet bewijzen dat hij of zij een mens is voor deze het commentaar kan indienen. Captcha’s zijn in bijna alle sectoren te vinden waar menselijke gebruikers van bots onderscheiden moeten worden. Bijvoorbeeld op registratieformulieren voor e-mailservices, nieuwsbrieven, community’s en sociale netwerken, maar ook bij online enquêtes of webservices zoals zoekmachines.

In de loop der tijd zijn er verschillende methodes ontwikkeld om Human Verification uit te voeren. In principe geldt echter dat geen enkele methode 100% bescherming biedt tegen spam. Bovendien wordt de captcha-technologie op een website vaak als minder klantvriendelijk ervaren.


Welke soorten captcha’s zijn er?

Het concept van captcha is gebaseerd op de aanname dat, ondanks de snelle vooruitgang in het KI-onderzoek, er nog steeds verschillen bestaan tussen de mentale capaciteiten van een mens en die van een computer. Elke captcha moet daarom minstens één opgave bevatten die menselijke gebruikers eenvoudig kunnen oplossen, maar machines theoretisch voor een onoplosbaar probleem stelt.

Methodes voor Human Verification die zijn gebaseerd op captcha’s kunnen grofweg worden verdeeld in tekst- en beeld-captcha’s, audio-captcha’s, reken-captcha’s, logica-captcha’s en gamification-captcha’s.


Tekst-captcha’s

De oudste vorm van Human Verification is de tekst-captcha. Bekende woorden of willekeurige letter- en cijfercombinaties worden vervormd. Om de test te doorstaan, moet elke gebruiker de tekens die in het captcha-veld staan ontcijferen en in een daarvoor bestemd tekstveld typen. Klassieke technieken die worden gebruikt bij het maken van tekst-captcha’s zijn Gimpy, ez-Gimpy, Gimpy-r en Simard’s HIP.

Het vervormen gebeurt op verschillende manieren waarbij de afzonderlijke tekens worden verdraaid, vergroot of verkleind, geroteerd of gebogen en met extra grafische elementen als lijnen, bogen, punten, kleurverloop of achtergrondruis worden gecombineerd. De volgende afbeelding toont een selectie van verschillende teksttransformaties die je op internet kunt tegenkomen.

#
Teksttransformaties en achtergrondruis moeten het lezen bemoeilijken voor tekstherkenningssystemen

Tekst-captcha’s bieden alleen een betrouwbare bescherming tegen spam als de oplossing niet kan worden gegeven door een programma met automatische tekstherkenning. Normaal gesproken is hiervoor een dusdanige vervorming nodig die ook een groot effect heeft op de leesbaarheid voor menselijke gebruikers.

Dat wordt in het volgende voorbeeld gedemonstreerd. Wie bij Microsoft een gratis account aan wil maken, moet eerst letters in het veld invoeren, in dit geval ‘SGPKDL’. Spambots zouden deze letters niet kunnen herkennen.

#
De vervormde letters zijn moeilijk te lezen voor spambots, maar eenvoudig voor menselijke users

In het volgende voorbeeld voor de registratie op het Linux Mint-forum kan er ook bij menselijke gebruikers snel verwarring ontstaan over de juiste tekens.

#
De vervormde letters zijn moeilijk te lezen voor spambots, maar soms ook voor menselijke users

De juiste oplossing is hier ‘1VYEJX’, hoewel het laatste teken moeilijk te lezen is en net zo goed kan worden aangezien voor een plusteken (+).

Waar het eerste voorbeeld problemen kan opleveren voor tekstherkenningssoftware, maar niet voor mensen, zijn de karakters in het tweede voorbeeld zo vervormd dat het zelfs moeilijk is voor menselijke gebruikers. Over het algemeen bevat een goed geïmplementeerde captcha daarom de mogelijkheid om te worden overgeslagen zodat men een volgend, beter leesbaar exemplaar kan overtypen. Het is echter niet moeilijk om je het ‘enthousiasme’ voor te stellen van de websitebezoekers die vaak met dit soort captcha’s worden geconfronteerd.

In de loop van de tijd zijn er daarom vele alternatieven voor de tekst-captcha-technologie ontwikkeld. Google biedt een belangrijke variant van de klassieke tekst-captcha met Google reCAPTCHA. In plaats van willekeurige lettercombinaties te genereren, voedt reCAPTCHA zich met diverse digitaliseringsprojecten, zoals Google Books of Google Street View. Gebruikers krijgen bijvoorbeeld straatnamen, huisnummers, verkeers- en plaatsnaamborden en fragmenten van gescande tekstfragmenten te zien die ze moeten ontcijferen en in een tekstveld moeten typen. De software biedt steeds twee elementen aan – een bekend, al bevestigd element en een nog onbevestigd exemplaar. In principe moeten gebruikers alleen het eerste element herkennen om de captcha succesvol te voltooien. Gebruikers die ook het tweede element ontcijferen, nemen daarmee deel aan het digitaliseringsprogramma van Google. De invoer wordt statistisch geverifieerd. De elementen die moeten worden ontcijferd worden altijd aan meerdere gebruikers getoond. Het antwoord dat het vaakst wordt gegeven, is juist.

Het volgende voorbeeld toont twee verschillend gemaakte reCAPTCHA-vragen die gebruikers te zien krijgen als ze zich aanmelden voor een community.

#
Sinds 2015 maakt reCAPTCHA gebruik van straatnaamborden om de kwaliteit van Google Street View te verbeteren.

Beeld-captcha’s

Beeld-captcha’s zijn een alternatief voor tekst-captcha’s. In plaats van gebruikers een vervormde combinatie van cijfers en letters te tonen, zijn beeld-captcha’s gebaseerd op snel herkenbare grafische elementen. Meestal worden meerdere foto’s van alledaagse situaties naast elkaar getoond. De gebruiker moet foto’s met een vergelijkbaar onderwerp aanklikken of aangeven welke foto’s een semantische overeenkomst hebben.

Het volgende voorbeeld toont een kat als belangrijkste afbeelding. De gebruiker moet beslissen welke van de 9 andere foto’s ook een kat weergeven en die aanklikken om de captcha te voltooien.

#
Een klassieke beeld-captcha van Google.

Google gebruikt ook captcha’s waarbij de user bepaalde delen van één enkele foto moet uitkiezen, bijvoorbeeld alle velden waarop een straatnaambord staat weergegeven. In tegenstelling tot tekst-reCAPTCHA’s is een klik op de juiste velden voldoende om een beeld-captcha op te lossen.

#
Ook Googles beeld-captcha’s maken gebruik van Google Street View-content.

Het kost de meeste gebruikers weinig tijd om een beeld-captcha op te lossen. Het vermogen van computerprogramma’s om een afbeelding te begrijpen, een semantische ordening te maken en vergelijkbare onderwerpen te classificeren, is op dit moment nog zeer beperkt. Beeld-captcha’s geven daardoor meer bescherming dan methodes die zijn gebaseerd op tekst.


Audio-captcha’s

Tekst- en beeld-captcha’s behoren tot de grafische Human Verification-methodes. Of een menselijke gebruiker gemakkelijk de goede oplossing kan geven, is afhankelijk van het vermogen om de getoonde teksten of beelden te herkennen. Voor mensen met een beperkt gezichtsvermogen of een visuele handicap kan een grafische captcha een struikelblok zijn. Captcha’s die met slechts een van de menselijke zintuigen waarneembaar zijn, hebben een beperkte usability (gebruiksvriendelijkheid) en zijn niet goed genoeg toegankelijk. Websitebeheerders moeten zich ervan verzekeren dat de geselecteerde captcha met gebruikmaking van meerdere zintuigen kan worden opgelost.

Om ook visueel gehandicapten toegang te verschaffen tot gedeeltes van websites die zijn beveiligd met captcha-codes worden tekst- of beeld-captcha’s vaak gecombineerd met zogenaamde audio-captcha’s. Vaak is er dan een extra button waarop de gebruiker kan klikken om een audio-opname te horen – bijvoorbeeld een korte getallenreeks die in het invoerveld moet worden getypt.

In het voorbeeld hieronder zie je hoe een dergelijke audio-captcha er bij Google kan uitzien:

#
Met audio-captcha’s kunnen ook mensen met een visuele beperking toegang krijgen tot beschermde gedeeltes van een website.

Om een optimale gebruiksvriendelijkheid van de captcha te garanderen, moet de audio-opname begrijpelijk zijn en aangepast aan de taal van de gebruiker.


Rekensommen en logica-captcha’s

Een alternatieve captcha die ook rekening houdt met de behoeftes van visueel gehandicapten maakt gebruik van rekensommetjes of puzzels om spambots buitenspel te zetten. Een opgave, zoals die hieronder, kan zo nodig ook worden gelezen met een screenreader, wat betekent dat hij ook kan worden opgelost door gebruikers met niet-visuele computers.

#
Om zich als mens te verifiëren, moeten gebruikers een rekensom oplossen.

Deze rekensommetjes zijn eenvoudig op te lossen, maar vormen ook voor spambots geen groot probleem, temeer omdat computers beter zijn met getallen dan mensen. Deze captcha’s worden daarom vaak gecombineerd met verschillende soorten tekstvervorming, wat de toegankelijkheid voor screenreaders echter tenietdoet. Het is veel moeilijker voor programma’s als de oplossing niet als cijfer, maar als woord wordt gevraagd, of als slechts één cijfer van de uitkomst moet worden ingevoerd (voorbeeld: reken 7 x 7 uit en typ het eerste cijfer van de uitkomst in het daarvoor bestemde veld. De uitkomst zou 49 zijn, maar de captcha-oplossing is 4).

Naast rekensommen wordt ook logica of algemene kennis getest in captcha’s. Vaak met een thematisch verband met de website waarop ze staan. Bij een forum over SMF-software (Simple Machines Forum) moeten bezoekers twee vragen beantwoorden over dit thema voor ze door kunnen gaan met de registratie.

#
Voor registratie in het SMF-forum moet de gebruiker twee beveiligingsvragen beantwoorden.

Logica-captcha’s bevatten vragen die voor menselijke gebruikers triviaal lijken. Klassieke spambots kunnen de samenhang niet begrijpen in de volgende voorbeelden.

  • Noem alle kleuren in de opsomming: appel, groen, sinaasappel, tomaat, geel. (Antwoord: groen, geel)
  • Geef aan wat het zesde woord in deze zin is. (Antwoord: woord)
  • Wat is de derde letter van het voorlaatste woord? (Antwoord: o)
  • Hoeveel uiers heeft een koe? (Antwoord: een)

Dit soort captcha’s zijn meestal zo gemaakt dat meerdere antwoorden mogelijk zijn (bijv. hoofdletters en kleine letters).


Gamification-captcha’s

Websitebeheerders die huiverig zijn om hun bezoekers af te schrikken met cryptische tekst-captcha’s of ingewikkelde rekensommen kunnen gebruikmaken van de gamification trend. Providers als SweetCaptcha en FunCaptcha bieden meer of minder onderhoudende mini-games, die kunnen worden gebruikt als gamification-captcha.

SweetCaptcha’s vertrouwen op de vaardigheid van mensen om te associëren en geven websitebezoekers eenvoudige opdrachten. In het volgende voorbeeld kun je bewijzen dat je mens bent door de stokken naar de trommel te slepen.

#
Opdracht: sleep de stokken naar de trommel.

SweetCaptcha gebruikt een verscheidenheid aan traditionele puzzel-captcha’s waarbij gebruikers beeldelementen met drag & drop in de juiste positie moeten bewegen.

#
Om te bewijzen dat je mens bent, moet je de puzzel oplossen.

Bij FunCaptcha draait alles in het rond. Pas wanneer de hond op zijn poten staat, gaat de software akkoord en mag je door naar de volgende stap.

#
FunCaptcha gaat ervan uit dat alleen menselijke gebruikers de hond juist kunnen positioneren.

Toegegeven, er zijn leukere dingen te bedenken, maar een gamification-captcha is in ieder geval stukken vermakelijker dan een vervormde tekst-snippet.


Voor- en nadelen van captcha’s

Wanneer een captcha in staat is om spambots op afstand te houden, maar menselijke gebruikers eenvoudig te laten passeren, vermindert dat de administratie rondom een website aanzienlijk. Sitebeheerders die user-gegenereerde content aanbieden, hoeven posts niet meer handmatig te verifiëren. Bovendien wordt de server duidelijk ontzien als automatische inputs en zoekopdrachten al worden geblokkeerd vóór ze een resource-intensieve reactie van het systeem veroorzaken. Maar wat is een goede captcha?

Het onderzoek naar kunstmatige intelligentie vordert gestaag. Gespecialiseerde programma’s worden steeds beter in het lezen van vervormde teksten of het oplossen van logicaopdrachten. Al in 2014 publiceerde een onderzoeksteam van Google een concept waarmee 99,8% van de klassieke reCAPTCHA’s automatisch kon worden opgelost. De database maakte gebruik van 10 miljoen geannoteerde huisnummers die via Google Street View waren gegenereerd.

Veel captcha-aanbieders proberen de vorderingen van het machineleren te compenseren door steeds moeilijkere opgaven te maken. In de praktijk zullen captcha’s zo echter onoplosbaar worden.

In 2010 stelden onderzoekers van de Stanford University vast dat veel captcha’s zelfs voor menselijke internetgebruikers een grote uitdaging vormen. In een onderzoek werd aan meer dan 1.100 personen gevraagd om rond de 318.000 captcha’s uit de destijds meest gebruikelijke schemata op te lossen.

Gemiddeld genomen losten de proefpersonen grafische captcha’s op in 9,8 seconden. Voor audio-captcha’s hadden ze met 28,4 seconden meer dan drie keer zoveel tijd nodig. Als eenzelfde grafische captcha aan 3 verschillende proefpersonen werd getoond, kwamen zij slechts in 71 procent van de gevallen tot dezelfde oplossing. Bij audio-captcha’s was dit percentage nog veel lager met 31%. Daarnaast stelden de onderzoekers bij op audio gebaseerde capcha’s een bounce rate van 50% vast. Of Human Verification wordt gebruikt en hoe dit wordt gerealiseerd, heeft dus effect op de motivatie van bezoekers om een interactie aan te gaan met de website.

In 2009 publiceerde het SaaS-bedrijf MOZ in dit verband een blogartikel over het effect van captcha’s op de conversiepercentages van webformulieren. In een casestudie onderzocht de auteur van YouMoz, Casey Henry, gedurende 6 maanden meer dan 50 verschillende bedrijfswebsites en kwam tot de conclusie dat de conversiepercentages van onlineformulieren (bijv. om je aan te melden voor een nieuwsbrief) gemiddeld genomen met 3,2% verminderden als captcha’s waren geactiveerd. De spam was echter ook afgenomen met 88%.

Zeker bedrijven die inkomsten genereren uit de interactie van internetgebruikers op hun website moeten zich afvragen of zo’n hoge bounce rate acceptabel is. De kosten van alternatieve anti-spammethodes moeten afgezet worden tegen de inkomstenderving door het gebruik van captcha’s.


Captcha’s en toegankelijkheid

Het is moeilijk om een geschikte captcha-technologie te kiezen voor websitebeheerders die hun internetdiensten goed toegankelijk willen houden voor hun bezoekers, dus ook voor mensen met een handicap.

Internet kan het leven vereenvoudigen, vooral voor mensen die leven met beperkingen. Toch zijn nog altijd veel onlinediensten niet goed toegankelijk voor iedereen. Ook captcha’s vormen vaak een onoverkomelijke barrière – bijvoorbeeld als de gebruiker ze niet kan oplossen ten gevolge van een visuele beperking of een geestelijke handicap.

Ook de Web Content Accessibility Guidelines (WCAG) van het Web Accessibility Initiative (WAI), dat onderdeel is van het World Wide Web Consortium (W3C), behandelen het probleem van de accessibility (toegankelijkheid) van captcha’s en specificeren de volgende punten als minimumeisen voor een goed toegankelijke captcha:

  • Als er niet-tekstuele content (bijv. een afbeelding) wordt gebruikt om menselijke gebruikers te onderscheiden van computerprogramma’s, moet er een tekstalternatief worden aangeboden die het doel van de niet-tekstuele content verklaart.
  • Als er gebruik wordt gemaakt van captcha-technologie, moet die zo zijn ontworpen dat er gelijkwaardige alternatieven beschikbaar zijn die rekening houden met verschillende soorten beperkingen.

Naast deze minimumeisen is het tevens raadzaam om bij captcha’s altijd een begeleidende tekst te plaatsen. Websitebeheerders die captcha’s inzetten ter preventie van spam moeten ervoor zorgen dat gebruikers begrijpen hoe zij kunnen bewijzen dat ze mens zijn. Hierbij hoort een begrijpelijke handleiding van de Turingtest in machineleesbare tekstvorm en duidelijke tekstvelden. Gebruikers moeten altijd de mogelijkheid hebben om onleesbare captcha’s over te slaan en een nieuwe captcha te proberen als ze een foute oplossing hebben gegeven.

Bovendien zouden captcha’s nooit de enige manier moeten zijn om een website te kunnen gebruiken. Biedt gebruikers naast captcha’s ook altijd de mogelijkheid om contact op te nemen met de beheerder of de klantenservice van de website. Verder is het raadzaam om het gebruik van captcha’s tot een minimum te beperken. Wanneer een gebruiker al eens succesvol is geregistreerd in het systeem, is een verdere verificatie in de vorm van captcha’s overbodig.


Bestaan er alternatieven voor captcha’s?

Ook al zijn captcha’s tegenwoordig gemeengoed, de methode die is gebaseerd op de Turingtest is bij lange na niet de enige mogelijkheid om een interactieve website te beveiligen tegen spam. Al in 2005 ontwikkelde het WAI met de Working Group Note 23 ‘Inaccessibility of CAPTCHA – Alternatives to Visual Turing Tests on the Web’ een catalogus met voorstellen voor spampreventie zonder captcha’s. In de loop van de tijd zijn vele methodes opgesteld om automatische zoekopdrachten of inputs te identificeren.

  • Blacklists: wanneer veel spam of automatische zoekopdrachten afkomstig zijn van een bepaalde bron kan de server of het IP-adres geblokkeerd worden door plaatsing op de blacklist. Zo’n blacklist kan handmatig worden samengesteld via .htaccess. Alle IP-adressen op de blacklist zullen worden geblokkeerd als er geprobeerd wordt van daaruit contact op te nemen. Er bestaan ook diverse anti-spamnetwerken en professionele serviceproviders die gecentraliseerde, continu geüpdatete blacklists beschikbaar stellen.
  • Honeypots: sommige websitebeheerders ontmaskeren potentiële kandidaten voor de blacklist door onlineformulieren te voorzien van spamvallen. Deze honeypots (honingpotten) lokken spam met invoervelden die via CSS of JavaScript verborgen blijven voor menselijke gebruikers. Eenvoudige spambots lezen normaal gesproken echter alleen de HTML-code van een website en vullen verstopte velden in met automatisch gegenereerde content. Dit is een duidelijke indicatie dat de interactie met de website niet plaatsvindt via een webbrowser en dat er dus geen menselijke gebruiker achter de aanvraag zit.
  • Contentfilter: een mogelijkheid om commentaarspam op blogs en in online shops of fora te voorkomen is het gebruik van een contentfilter dat ook gebruikmaakt van blacklists. Websitebeheerders definiëren zogenaamde ‘hot words’, keywords die vaak voorkomen in spamcontent, om verdachte inputs automatisch als computergegenereerd te kunnen identificeren. Wanneer contentfilters worden gebruikt, bestaat het risico dat ook bijdrages van menselijke gebruikers worden geblokkeerd als zij woorden uit de blacklist hebben gebruikt.
  • Filtering aan de kant van de server: de meeste webservers maken gebruik van filtersoftware die het mogelijk maakt om opmerkelijke interacties met bepaalde gedeeltes van een website te herkennen en zo de schade door spambots te beperken. Spamfilters zijn gebaseerd op statische, heuristische en gedragsmatige analyses om verdachte interacties te identificeren aan de hand van ongewone kenmerken en bekende patronen. Spamfilteranalyses zijn gebaseerd op technische kenmerken van de user agent. De hoeveelheid opgevraagde data, het IP-adres, de gebruikte methodes voor gegevensinvoer en de signatuurgegevens en eerder bezochte websites worden bijvoorbeeld geanalyseerd. Bovendien is het mogelijk om met tijdstempels na te gaan hoeveel tijd er zit tussen het weergeven van het onlineformulier en het invullen. In tegenstelling tot menselijke gebruikers kunnen spambots formulieren razendsnel invullen.

Een veelgebruikt alternatief voor de klassieke captcha dat is gebaseerd op de analyse van gedrag, is eveneens afkomstig van Google. Sinds 2013 biedt Google een Human Verification-service aan met de naam ‘No CAPTCHA reCaptcha’, die interactieve websites betrouwbaar beschermt tegen misbruik en daar meestal geen captcha’s voor nodig heeft.

In plaats van de gebruiker een visuele, auditieve of logische opgave te tonen, bestaat de nieuwste reCAPTCHA van Google uit een eenvoudig keuzevak.

#
De No CAPTCHA reCAPTCHA van Google heeft geen captcha-code, beeldpuzzel of rekensom.

Wanneer een gebruiker een vinkje plaatst bij “I’m not a robot” controleert de software door middel van een geavanceerde risicoanalyse op de achtergrond hoe waarschijnlijk het is dat het om automatische input gaat. Welke tests deze algoritmes omvatten, houdt het bedrijf geheim. Op internet wordt er over de volgende kenmerken gespeculeerd:

  • Cookies
  • IP-adressen
  • Muisbewegingen in het gebied van het keuzevak
  • Duur van het verblijf

Wanneer de software tot de conclusie komt dat het menselijke gebruikers betreft, kunnen zij ongehinderd doorgaan. Als het resultaat van de analyse wijst op een hoog risico op spam, moet er alsnog een captcha worden opgelost. No CAPTCHA is dus een eerste test die evalueert of een verificatie met een Turingtest noodzakelijk is of kan worden overgeslagen. De usability is toegenomen, maar kan leiden tot problemen met de privacybescherming.

Websitebeheerders die gebruikmaken van de nieuwe reCAPTCHA geven Google automatisch de bewegingsgegevens van hun gebruikers. Gebruikers moeten er daarom in de privacyverklaring expliciet op worden gewezen dat software van derden wordt gebruikt voor spampreventie.

Opvallend is ook dat Google de algemene gebruikersvoorwaarden en een algemene privacyverklaring specificeert voor de nieuwe reCAPTCHA. Dit is ook het geval bij alle andere diensten van Google. Het is daarom niet uitgesloten dat het bedrijf de verzamelde data behalve voor de spampreventie ook gebruikt voor het optimaliseren van de eigen diensten – bijvoorbeeld voor reclame. Dit onderwerp wordt behandeld in een artikel van het online magazine Business Insider.

Op de huidige homepage van het reCaptcha-project (sinds januari 2017) kondigt Google Invisible reCAPTCHA aan, een doorontwikkeling van de No CAPTCHA reCAPTCHA die geen interactief keuzevak meer heeft.

#
Met de Invisible reCAPTCHA wil Google de klassieke captcha-technologie van het internet bannen

Theoretisch werkt de Invisible reCAPTCHA als volgt: wanneer een gebruiker een online formulier invult, vinden er op de achtergrond verschillende analyseprocessen plaats. Tot nu toe hult Google zich echter in stilzwijgen over wat deze processen inhouden.

  • Gecertificeerde veiligheid

    Gecertificeerde veiligheid
  • Beste hostingbedrijf

    Beste hostingbedrijf
  • MKB Best Choice

    MKB Best Choice
  • Professionele support

    Professionele support
  • Hosted in Germany

    Hosted in Germany