Co to jest CAPTCHA i jak to działa?

Odszyfrowywanie powyginanych literek, klikanie w każde zdjęcie z sygnalizacją świetlną czy przesuwanie elementu układanki na właściwe miejsce… Coraz częściej musimy rozwiązywać tego rodzaju drobne cyfrowe zadania, znane jako CAPTCHA, kiedy zakładamy konto na stronie internetowej, publikujemy komentarz lub wysyłamy formularz online.

Ale czym one właściwie są? I dlaczego w ogóle istnieją? Czytaj dalej, aby dowiedzieć się, czym jest CAPTCHA i jak ważną rolę odgrywa w cyberbezpieczeństwie.

Dlaczego stworzono CAPTCHA?

Historia CAPTCHA – ta nazwa to skrót od angielskiego „Completely Automated Public Turing test to tell Computers and Humans Apart”, czyli „w pełni zautomatyzowany publiczny test Turinga odróżniający komputery od ludzi” – sięga przełomu XX i XXI wieku. Termin został ukuty w 2003 roku przez zespół badaczy z Carnegie Mellon University w celu rozwiązania konkretnego problemu.

W tamtym czasie jeden z największych dostawców poczty e-mail, Yahoo, prowadził intensywną walkę ze spamerami. Nieuczciwi użytkownicy wykorzystywali programy komputerowe do tworzenia ogromnej liczby kont e-mail i za ich pomocą masowo rozsyłali niechciane wiadomości.

Badacze z Carnegie Mellon postanowili pomóc, zaprojektowali więc test, w którym użytkownik musiał zinterpretować i przepisać ciąg zniekształconych liter i cyfr, aby udowodnić, że jest człowiekiem podczas zakładania nowego konta. Yahoo szybko wdrożyło tę nową technologię, aby powstrzymać masowe zakładanie kont, a inne platformy wkrótce poszły jego śladem.

Kiedy i dlaczego widzisz testy CAPTCHA

Mimo że test CAPTCHA został pierwotnie stworzony, aby powstrzymać e-mailowych spamerów przed zakładaniem kont, z czasem przyjął szereg dodatkowych zastosowań. Większość z nas widuje testy CAPTCHA podczas logowania się na rozmaite konta lub wysyłania formularzy online.

Logowanie na konta

Wiele platform, takich jak bankowość internetowa, konta e-mail i serwisy społecznościowe, rutynowo prosi użytkowników o rozwiązanie CAPTCHA podczas logowania. CAPTCHA zapewnia dodatkową warstwę ochrony logowania, gwarantując, że to prawdziwy użytkownik, a nie robot, próbuje dostać się na konto.

Pomaga to zapobiegać szeregowi zautomatyzowanych, opartych na botach ataków logowania, takich jak ataki siłowe (brute force), w których boty błyskawicznie testują dużą liczbę kombinacji danych logowania, aby znaleźć te właściwe i uzyskać dostęp do konta.

Wysyłanie formularzy

Możesz natknąć się na test CAPTCHA także wtedy, gdy klikasz przycisk „Wyślij” w formularzu online, na przykład podczas dodawania komentarza, korzystania z formularza kontaktowego lub wypełniania ankiety.

Tutaj także celem jest powstrzymanie aktywności botów. Boty mogą być wykorzystywane do spamowania sekcji komentarzy niechcianymi treściami, a nawet linkami phishingowymi. Mogą również służyć do manipulowania wynikami głosowań, konkursów czy ankiet internetowych. CAPTCHA zapobiega wszystkim tego rodzaju działaniom.

Jak działa CAPTCHA?

Celem każdego testu CAPTCHA jest rozróżnienie, czy dany użytkownik jest prawdziwą osobą, czy też programem komputerowym, takim jak bot. Testy te występują w licznych formach, ale wszystkie mają ten sam cel. Przyjrzyjmy się bliżej, jak to dokładnie działa.

Użytkownik vs. bot: w jaki sposób test Cię identyfikuje

CAPTCHA zasadniczo działa w oparciu o zasadę, że istnieją pewne problemy lub łamigłówki, które są dość łatwe do rozwiązania dla ludzi, ale bardzo trudne lub niemal niemożliwe do rozgryzienia dla botów. Narzędzie prezentuje te łamigłówki użytkownikowi, na przykład prosząc go o wpisanie serii symboli lub rozwiązanie stosunkowo prostego zadania matematycznego.

Słynny przykład CAPTCHA to sekwencja liter i cyfr, które są w jakiś sposób zniekształcone. Mogą one wyglądać na nabazgrane na ekranie pod przypadkowymi kątami lub zasłonięte przez kolorowe plamy i inne elementy wizualne. Podczas gdy ludzie mogą dość łatwo odczytać i powtórzyć te sekwencje, większość botów nie jest w stanie tego zrobić.

Jeśli więc użytkownik jest w stanie przejść taki test, zasadniczo dowodzi to systemowi, że najprawdopodobniej jest człowiekiem.

Za kulisami: logika serwera i wyzwalacze

Na szczęście nie zawsze trzeba wypełniać CAPTCHA podczas logowania się na konta, wprowadzania informacji do formularzy, dokonywania zakupów online itp. Wiele z nich pojawia się tylko w określonych okolicznościach, kiedy serwery witryny zauważą oznaki nietypowego lub potencjalnie podejrzanego zachowania, takie jak:

Anomalie adresu IP

Witryny mogą poprosić Cię o wypełnienie CAPTCHA, jeśli zauważą, że używasz podejrzanego lub współdzielonego adresu IP, albo serwera pośredniczącego (proxy). Może to dotyczyć również użytkowników VPN, ponieważ sieć VPN maskuje Twój rzeczywisty adres IP jednym ze swoich własnych.

Jeśli strona zauważy nagłą zmianę adresu IP lub otrzyma dużą liczbę żądań od użytkowników korzystających z tego samego adresu, może uznać to za podejrzane. Dzieje się tak, ponieważ boty często ukrywają się za serwerami proxy lub VPN-ami, aby dyskretnie prowadzić swoje działania.

Jeśli ten problem często występuje w przypadku Twojej sieci VPN, pomocna może być zmiana serwera. Możesz także spróbować wyczyścić historię lub pamięć podręczną (cache) przeglądarki, zdobyć dedykowany adres IP, albo przełączyć się na inną przeglądarkę.

Podejrzane zachowanie przeglądarki

Testy CAPTCHA mogą się również pojawić, jeśli witryna wykryje, że użytkownik zachowuje się podejrzanie lub wykazuje oznaki aktywności typowej dla bota. Może się tak zdarzyć w przypadku, kiedy użytkownik bardzo szybko wypełnia formularze, klika w przyciski w bardzo skalkulowany, precyzyjny sposób albo wysyła wiele żądań do serwera jedno za drugim.

Wszystko to są potencjalne oznaki zachowania bota, a test CAPTCHA może zostać zastosowany w celu spowolnienia lub zatrzymania jego działań. Przyczynia się to do powstrzymywania oszustw opartych na botach w dziedzinach takich jak sprzedaż internetowa, na przykład w sytuacji zaangażowania sieci botów do zakupu dużej liczby biletów na wydarzenia lub produktów z limitowanej edycji, które oszuści następnie odsprzedają po wyższej cenie.

Nagłe skoki ruchu

Niektóre cyberataki obejmują wykorzystanie sieci zainfekowanych urządzeń (botnetów) do zalewania witryn wieloma żądaniami naraz, jak w przypadku rozproszonych ataków typu odmowa usługi (Distributed Denial of Service – DDoS). CAPTCHA może służyć jako narzędzie łagodzące skutki ataków DDoS, uruchamiające się automatycznie, gdy tylko strona wykryje nagły, nieoczekiwany wzrost ruchu.

Odmiany CAPTCHA

Testy CAPTCHA początkowo były prostymi zadaniami tekstowymi, ale z biegiem lat ewoluowały, przyjmując różne formy i wykorzystując także dźwięki, obrazy i inne elementy.

Tekstowe CAPTCHA

Pierwotny test CAPTCHA, czyli CAPTCHA tekstowy, wykorzystuje słowa, frazy, albo losowe sekwencje liter i cyfr, które zostały w jakiś sposób zniekształcone lub wyświetlone w sposób utrudniający ich odczytanie przez boty.

Do tworzenia tekstowych CAPTCHA stosuje się różne techniki, takie jak technika Gimpy, która polega na losowym wyborze słów ze słownika, lub HIP (Human Interaction Proof – dowód interakcji z człowiekiem) Simarda, która wybiera losowe litery i cyfry, a następnie zniekształca je za pomocą nietypowych łuków i kolorów. Użytkownik musi po prostu odczytać tekst i wpisać go w wyznaczonym polu, aby rozwiązać zadanie.

Jednakże, mimo że nadal można spotkać się z CAPTCHA opartymi na zniekształceniu tekstu, badanie przeprowadzone przez Google w 2014 roku wykazało, jak nieskuteczne stały się one w odróżnianiu ludzi od botów. Badacze sztucznej inteligencji z Google zastosowali zaawansowane algorytmy uczenia maszynowego do rozwiązywania takich tekstowych CAPTCHA powszechnie używanych w Internecie. Wyniki były druzgocące: ich system był w stanie rozwiązać testy CAPTCHA o najwyższym poziomie zniekształcenia tekstu z dokładnością przekraczającą 99%. Dla porównania, wskaźnik skuteczności u ludzi oscylował wokół 33%, głównie z powodu rosnącej złożoności, która frustrowała rzeczywistych użytkowników.

Obrazkowe CAPTCHA (reCAPTCHA v2)

W przypadku tego typu CAPTCHA użytkownikowi wyświetlane są obrazy i polecenie kliknięcia takich, które pasują do określonego tematu, lub też wskazania tych, które nie pasują do pozostałych. Dobrze znane przykłady obejmują konieczność zaznaczenia wszystkich obrazów z serii zawierających przejścia dla pieszych lub hydranty przeciwpożarowe, albo prośbę o kliknięcie określonych kwadratów na większym obrazie.

Obrazkowe testy CAPTCHA zostały zaprojektowane po to, aby zastąpić testy oparte na tekście i wyparły je na wielu platformach, a część użytkowników postrzega je jako łatwiejsze do zrozumienia i rozwiązania.

Uważa się również, że są one trudniejsze do rozwiązania dla botów, ponieważ wymagają zarówno umiejętności rozumowania semantycznego, jak i rozpoznawania obrazów.

Dźwiękowe CAPTCHA

Testy CAPTCHA w formie dźwiękowej odtwarzają krótki plik audio, często zawierający głos odczytujący serię liter lub cyfr. Użytkownik musi następnie wpisać to, co usłyszał, w polu tekstowym. Często dźwięk zawiera również pewien poziom szumu w tle, co utrudnia botom zrozumienie tego, co zostało powiedziane.

Dźwiękowe CAPTCHA są mniej powszechne niż warianty tekstowe i obrazkowe, ale stanowią pomocną alternatywę dla osób z wadami wzroku.

Zagadki matematyczne i logiczne

Niektóre testy CAPTCHA zawierają proste zadania matematyczne lub logiczne. Mogą one polegać na wpisaniu brakującego słowa w zdaniu, rozwiązaniu zadania na dodawanie lub przesunięciu elementu układanki w odpowiednie miejsce.

Tego rodzaju zagadki również są zwykle bardzo proste dla przeciętnej osoby, ale programy komputerowe mogą mieć trudności ze zrozumieniem, czego się od nich oczekuje. Na podstawie odpowiedzi użytkownika CAPTCHA jest w stanie jednoznacznie rozróżnić człowieka od bota.

„No CAPTCHA reCAPTCHA”

„No CAPTCHA reCAPTCHA” to bardzo prosta forma testu, która została wprowadzona przez Google w 2014 roku. Wymaga ona jedynie kliknięcia pola obok komunikatu „Nie jestem robotem”.

Zarówno boty, jak i ludzie są w stanie kliknąć to okienko. Jednak boty prawie zawsze trafiają dokładnie w jego środek, podczas gdy ludzie są mniej przewidywalni i wykazują niewielkie różnice w pozycji, czasie i ruchu poprzedzającym kliknięcie. Na podstawie tych czynników (ruch myszy, czas, charakterystyka kliknięcia, zachowania związane z przewijaniem itp.) CAPTCHA może sformułować uzasadnione przypuszczenie dotyczące prawdziwej natury użytkownika.

Jeśli interakcja wydaje się w jakikolwiek sposób podejrzana, zostaje przeprowadzony dodatkowy test CAPTCHA.

Niewidzialne CAPTCHA (reCAPTCHA v3)

Jak sama nazwa wskazuje, niewidzialnych testów CAPTCHA nie widać, nie trzeba też wchodzić z nimi w bezpośrednią interakcję ani rozwiązywać żadnych zagadek. Działają w tle, śledząc aktywność użytkownika i przypisując mu ocenę na podstawie jego działań.

Wynik jest oparty na interakcjach między użytkownikami a witryną, aczkolwiek Google nie ujawniło zbyt wielu informacji na temat tego, jak dokładnie każda ocena jest obliczana.

Jednak wiele źródeł podaje, że system ten obejmuje gromadzenie i przetwarzanie elementów danych użytkownika, które mogą obejmować adres IP odwiedzającego, ruchy jego myszy, dane wprowadzane z klawiatury, a także przeglądarkę i system operacyjny, z których korzysta.

Na przykład, w 2023 roku francuski organ ochrony danych, CNIL, ukarał NS Cards France grzywną w wysokości 105 000 EUR (około 114 000 USD) w następstwie dochodzenia, w którym ujawniono, że ten dostawca rozwiązań w zakresie płatności internetowych korzystał z technologii reCAPTCHA firmy Google bez informowania użytkowników, że dane ich urządzeń i aplikacji będą gromadzone i przesyłane do Google w celu analizy.

„Honeypot CAPTCHA”

„Honeypot CAPTCHA” można najprościej opisać jako pułapkę na boty. Ten rodzaj testów CAPTCHA jest niewidoczny dla ludzi, ale za to widoczny dla botów. Boty postrzegają je jako puste pola w formularzach i często próbują wejść z nimi w interakcję i je wypełnić, czego nie zrobiliby prawdziwi ludzcy użytkownicy, jako że nie są w stanie ich zobaczyć.

Czasowe CAPTCHA

Testy CAPTCHA oparte na czasie próbują odróżnić ludzi od botów, mierząc czas, jaki zajmuje im wypełnienie formularza lub wprowadzenie danych w konkretnym polu. Boty zazwyczaj wykonują te czynności znacznie szybciej niż ludzie. Jeśli więc CAPTCHA wykryje nienaturalnie szybką reakcję, to zazwyczaj zakłada, że użytkownik musi być botem.

CAPTCHA a sztuczna inteligencja: czym jest test Turinga?

Jak wspomniano wcześniej, skrót CAPTCHA oznacza „w pełni zautomatyzowany publiczny test Turinga odróżniający komputery od ludzi”. Test Turinga, czyli gra w naśladownictwo, jest sposobem na przetestowanie zdolności maszyny do zachowania się jak człowiek. Został stworzony przez brytyjskiego matematyka, informatyka i filozofa Alana Turinga w 1949 roku.

Oryginalna koncepcja testu Turinga obejmowała trzy oddzielne terminale: jeden obsługiwany przez komputer i dwa przez ludzi. Jedna osoba zadaje pytania, a druga osoba i komputer udzielają odpowiedzi. Na podstawie udzielonych odpowiedzi pytający musi określić, który z jego rozmówców jest maszyną.

CAPTCHA działa na podobnej zasadzie. Przedstawia wyzwanie i ocenia odpowiedź, aby zdecydować, czy pochodzi ona od człowieka, czy od bota. Kluczową różnicą jest to, że w CAPTCHA rolę sędziego pełni oprogramowanie, a nie osoba.

Praktyczne zastosowania sztucznej inteligencji oparte na danych CAPTCHA

Firmy takie jak Google od lat wykorzystują testy CAPTCHA do szkolenia modeli AI i doskonalenia uczenia maszynowego. Gromadzą one dane na podstawie odpowiedzi użytkowników na różne zagadki i problemy z testów, a następnie wprowadzają te dane do systemów sztucznej inteligencji, poprawiając ich rozumienie semantyczne, rozpoznawanie obrazów i inne umiejętności.

Jednym z najczęstszych wczesnych przykładów testów CAPTCHA był test słowny, który prosił użytkowników o wpisanie sekwencji dwóch wyrazów. Osoba rozwiązująca test nie wiedziała, że jedno ze słów było obrazem słowa pochodzącego z prawdziwej, fizycznej książki. Za każdym razem, gdy użytkownik wpisywał testowe słowa, w rzeczywistości pomagał w transkrypcji i digitalizacji fizycznych książek i dokumentów. Proces ten pomógł w zdigitalizowaniu całego archiwum Google Books, a także milionów starych artykułów z New York Timesa.

Gdy zaczęła się pojawiać technologia uczenia maszynowego oraz AI, a obrazkowe CAPTCHA stały się bardziej rozpowszechnione, Google wpadło na kolejny pomysł.

Dane z ukończonych testów CAPTCHA zaczęły być zbierane w celu poprawy rozpoznawania obrazów przez AI. Na przykład, test prezentował użytkownikom kilka różnych obrazów i prosił ich o kliknięcie tych, które zawierały samochody. Google mogło następnie wprowadzić te dane do swoich modeli uczenia maszynowego, aby pomóc AI lepiej rozpoznawać samochody na fotografiach.

Ta sama technologia została również wykorzystana do poprawy wyników wyszukiwania w Mapach Google (na przykład poprzez zwiększenie zdolności algorytmu do odczytywania tabliczek z numerami domów), dostarczania wyników wyszukiwania obrazem, a nawet umożliwienia użytkownikom przeszukiwania bibliotek Zdjęć Google w poszukiwaniu fotografii zawierających określone przedmioty lub elementy. Jest ona nawet wdrażana w samochodach autonomicznych, pomagając im wykrywać i identyfikować znaki drogowe.

Plusy i minusy CAPTCHA

Stosowanie testów CAPTCHA niesie ze sobą zarówno pewne korzyści, jak i niedogodności dla codziennych użytkowników oraz właścicieli witryn.

Korzyści dla właścicieli stron internetowych

Właściciele stron www odnoszą znaczne korzyści z wdrożenia technologii CAPTCHA. Pomaga im ona w blokowaniu aktywności botów, powstrzymywaniu spamu i fałszywych kont, zapobieganiu oszustwom i nie tylko. Używanie CAPTCHA może być również postrzegane jako oznaka wiarygodności, sprawiając, że witryna wydaje się bardziej bezpieczna.

Kwestie użyteczności i dostępności

Wiele osób uważa testy CAPTCHA za irytujące lub niewygodne, ponieważ często opóźniają one dostęp do stron lub treści, które chcą zobaczyć. Użytkownicy nie zawsze rozumieją potrzebę stosowania testów, co może zwiększać ich frustrację, a niektórzy z nich, szczególnie osoby z wadami wzroku lub innymi problemami, mogą mieć szczególne trudności z rozwiązaniem niektórych rodzajów testów CAPTCHA.

Negatywny wpływ na konwersję

Ponieważ rozwiązywanie CAPTCHA wymaga pewnego czasu i wysiłku, może to obniżać współczynnik konwersji witryny, utrudniając właścicielom stron prowadzenie sprzedaży, pozyskiwanie kontaktów oraz przyciąganie nowych odbiorców.

Badanie przeprowadzone w 2010 roku przez Uniwersytet Stanforda wykazało, że niektóre rodzaje testów (w szczególności odmiany dźwiękowe) były tak frustrujące dla uczestników, że rezygnowali z ich rozwiązania całkowicie w 50% przypadków.

Alternatywy dla CAPTCHA

Biorąc pod uwagę istotne wady technologii CAPTCHA, właściciele stron internetowych mogą słaniać się w stronę wykorzystania alternatywnych sposobów zabezpieczania swoich witryn i blokowania botów.

Logowanie za pomocą mediów społecznościowych

Przyciski logowania społecznościowego są coraz bardziej popularną i bezpieczną formą ochrony przed botami oraz zabezpieczania stron internetowych. Przyciski te często pojawiają się, gdy użytkownicy chcą uzyskać dostęp do jakiejś platformy lub treści, prosząc o zalogowanie się za pomocą konta społecznościowego na platformach takich jak Google czy Facebook.

Ponieważ tworzenie indywidualnych profili w social mediach wymaga od botów dużo czasu i energii, przycisk logowania społecznościowego może okazać się nieoceniony w zapobieganiu oszustwom, spamowi i działalności przestępczej.

Z drugiej strony jednak, logowanie za pomocą serwisów społecznościowych może być postrzegane jako forma naruszenia prywatności. Niektórzy użytkownicy niekoniecznie chcą logować się na swoje profile społecznościowe i tym samym ujawniać swoją tożsamość, aby uzyskać dostęp do określonych witryn lub platform.

Analiza behawioralna

Narzędzia do analizy behawioralnej śledzą wzorce zachowań użytkowników i szukają podejrzanych oznak wskazujących na aktywność botów.

Na przykład, są one w stanie zobaczyć, jak użytkownik zachowuje się podczas odwiedzania witryny, tzn., gdzie przesuwa kursor myszy i jak często klika przycisk lub naciska klawisz na klawiaturze. Mogą również śledzić ruchy użytkownika na stronie i sprawdzać, ile czasu zajmuje mu wykonanie określonych czynności.

Boty mają tendencję do wykonywania wszystkich tych czynności w bardzo szybki, skalkulowany i precyzyjny sposób, podczas gdy ludzie mogą potrzebować więcej czasu lub wydawać się bardziej przypadkowi i nieprzewidywalni w swoich działaniach. Pomaga to narzędziom analitycznym odróżniać boty od ludzi.

Uwierzytelnianie wieloskładnikowe (MFA)

Uwierzytelnianie wieloskładnikowe (multi-factor authentication – MFA) i uwierzytelnianie dwuskładnikowe (two-factor authentication – 2FA) to pomocne narzędzia zapobiegające tworzeniu kont użytkowników i logowaniu się do nich przez boty. Zapewniają one dodatkową warstwę ochrony podczas logowania, wymagając od użytkownika wprowadzenia klucza dostępu lub użycia danych biometrycznych w celu zalogowania się na konto, czego boty nie są w stanie zrobić.