CAPTCHA nedir ve nasıl çalışır?

Eciş bücüş harfleri anlamaya çalışma, trafik ışığı olan görsellere dokunma ya da yapboz parçasını yerine yerleştirme… Hesap oluştururken, yorum yazarken veya online form doldururken bu küçük dijital bulmacaları, diğer adıyla CAPTCHA’ları sık sık çözmek zorunda kalıyoruz.

Peki ne bunlar? Ve ne işe yararlar? CAPTCHA’nın ne olduğunu ve siber güvenlikte ne gibi bir rol oynadığını öğrenmek için yazımızın devamını okuyun.

CAPTCHA neden icat edildi?

"İnsan ve Bilgisayar Ayrımı Amaçlı Tam Otomatik Genel Turing Testi”nin kısaltması olan CAPTCHA’nın geçmişi 21. yüzyılın başlarına dayanıyor. 2003 yılında spesifik bir sorunun çözümü için bulunmuş bu terimin isim babası, Carnegie Mellon Üniversitesi'ndeki bir grup araştırmacıydı.

O zamanlar en popüler e-posta hizmeti olan Yahoo’nun başı spam e-postalarla dertteydi. Kötü amaçlı kullanıcılar çok sayıda e-posta hesabı açmak için bilgisayar programları kullanıyor ve bu adreslerden dünyanın her yerine spam mesajlar gönderiyorlardı.

Carnegie Mellon’daki araştırmacılar bu soruna bir çözüm bulmak istiyorlardı. Bu sebeple, kullanıcıların yeni hesap oluşturmak için eğri büğrü harf ve rakamlardan oluşan bir diziyi yazmaları gerektiği bir test geliştirdiler. Yahoo spam hesapların önüne geçmek için hemen bu yeni teknolojiden yararlanmaya başladı ve çok geçmeden diğer platformlar da onu izledi.

CAPTCHA testlerini ne zaman ve neden görürsünüz

CAPTCHA ilk başta spammer’ların yeni hesap oluşturmasını engellemek için geliştirilmişti ama daha sonra pek çok farklı amaçla kullanıldı. Günümüzde bir hesaba giriş yaparken veya online form gönderirken CAPTCHA ile karşılaşmak daha olasıdır.

Hesaplara giriş yaparken

Online bankalar, e-posta hesapları ve sosyal medya platformları, profiline girmek isteyen kullanıcılardan sık sık CAPTCHA doldurmalarını ister. Giriş yapmak isteyenin bir robot değil de insan olduğundan emin olan CAPTCHA, ek bir giriş koruması sağlar.

Bunun amacı, kaba kuvvet saldırısı gibi bot tabanlı, otomatikleştirmiş giriş saldırılarına dur demektir. Robotlar kaba kuvvet saldırılarında çok sayıda kullanıcı bilgisini üst üste girerek doğru şifreyi tutturmayı ve hesabı çalmayı amaçlar

Form gönderirken

Bir yorum gönderme sayfası, iletişim formu ya da ankette "Gönder” butonuna tıkladığınızda CAPTCHA ile karşılaşmanız mümkündür.

Tahmin edeceğiniz üzere, bunun amacı bot kullanımını engellemektir. Robotlar yorum kısımlarını spam'leyip istenmeyen mesajlar ve hatta phishing linkleri ile doldurabilirler. Robotlar ayrıca seçimleri, yarışmaları ya da online anketleri etkilemede de kullanılır. CAPTCHA’lar bunun gerçekleşmesini önler.

CAPTCHA nasıl çalışır?

Her türlü CAPTCHA’nın asıl amacı, karşıdakinin gerçek bir insan mı yoksa robot mu olduğunu ayırt etmeye çalışmaktır. Testler farklı şekillerde gelebilse de amaç aynıdır. Aşağıdan CAPTCHA’nın tam olarak nasıl çalıştığını görebilirsiniz.

Kullanıcı vs. bot: Test sizi nasıl tanımlar

CAPTCHA’lar bazı problem veya bulmacaların insanlar tarafından kolay çözülebilirken robotlar tarafından çözülmesi çok zor ve hatta imkânsız olması prensibiyle çalışır. Daha sonra bu bulmacaları kullanıcıya getirir ve kişiden bir dizi sembol girmesi veya basit bir matematik problemi çözmesi istenir.

En ünlü CAPTCHA örneklerinden bir tanesi, eğri büğrü harf ve rakamlardan oluşan bir dizidir. Bu dizi, ekrana farklı açılardan, elle, rastgele yazılmış ya da renk veya görsel elementlerle üzeri kapatılmış olabilir. İnsanlar bu dizileri kolay bir şekilde okuyup yazabilirler ama çoğu bot bunu yapamaz.

Kullanıcı, testi geçerse sisteme bir insan olduğunu büyük bir ihtimalle kanıtlamış olur.

Perdeler ardında: Sunucu mantığı ve harekete geçiriciler

Neyse ki hesaplara her giriş yaptığınızda, bir forma her bilgi girdiğinizde ya da her online alışverişinizde CAPTCHA ile uğraşmanız gerekmez. Çoğu CAPTCHA, web siteleri şüpheli bir faaliyetler tespit ettiğinde karşınıza çıkar:

Anormal IP adresi

Bir paylaşılan, şüpheli ya da proxy IP adresi kullanıyorsanız CAPTCHA girmeniz istenebilir. Bu durum VPN kullanıcılarını da etkiler çünkü VPN’ler gerçek IP adresinizi kendi adresiyle değiştirir.

Web sitesi, IP adresinizin aniden değiştiğini fark eder ya da aynı IP adresinden çok sayıda sorgu alırsa bu durumu şüpheli olarak görebilir. Bunun sebebi, robotların işlemlerini halletmek için çoğu zaman proxy veya IP'lerin arkasına saklanıyor olmalarıdır.

Bir VPN sunucusunda bu sorunla karşılaşıyorsanız başka bir sunucuya geçmeyi deneyin. Diğer seçenekler ise tarayıcınızın geçmişi veya ön belleğini temizlemek, özel IP adresi edinmek veya başka bir tarayıcıya geçiş yapmaktır.

Şüpheli tarayıcı davranışı

Bir kullanıcının şüpheli faaliyetlerde bulunduğu ya da robot gibi davrandığı tespit edilirse CAPTCHA çıkabilir. Formlar hızlı dolduruluyor, tuşlara fazlasıyla planlı bir şekilde tıklanıyor ya da sunucuya aynı anda çok sayıda sorgu gönderiliyorsa bu, şüpheli bir durum olarak görülebilir.

Tüm bunlar genelde robotlar tarafından yapıldığı için CAPTCHA’lar devreye girerek robotu durdurmaya ya da en azından yavaşlatmaya çalışır. Daha sonra yüksek bir fiyata satmak üzere çok sayıda etkinlik biletinin ya da sınırlı sayıda üretilen bir ürünün, bot kullanımıyla aynı anda satın alımı, dolandırıcı ve kara borsacılar tarafından sıklıkla tercih edilen bir yöntemdir.

Ani trafik artışı

Bazı saldırganlar bir sunucuya aynı anda çok sayıda sorgu göndererek dağıtık hizmet aksatma (DDoS) saldırısında bulunmak için botnet kullanırlar. Trafikte beklenmedik, ani bir artış görüldüğünde otomatik olarak devreye giren CAPTCHA’lar DDoS önleme araçları olarak kullanılabilir.

CAPTCHA türleri

CAPTCHA’lar ilk başta metin tabanlı basit testlerdi ama yıllar içinde ses, görüntü ve diğer unsurların eklendiği büyük değişikliklerden geçti.

Metin tabanlı CAPTCHA

İlk CAPTCHA testi olan metin tabanlı CAPTCHA; kelime, cümle ya da rastgele harf ve rakam dizileri kullanıyor ve robotlar tarafından okunamaması için garip, eğri büğrü şekillerde gösteriliyordu.

Metin tabanlı CAPTCHA oluşturmanın farklı teknikleri vardır. Gimpy tekniği bir sözlükten rastgele kelime seçerken Simard’ın HIP tekniği rastgele harf ve rakam seçtikten sonra bunların yönünü ve rengini değiştirir. Kullanıcının testi geçmesi için tek yapması gereken, metni okuyup kutucuğa yazmaktır.

Hâlen ara sıra metin tabanlı CAPTCHA’lar ile karşılaşmak mümkün olsa da Google’ın 2014 araştırmasında, metin CAPTCHA’larının insan ile robotları birbirinden ayırmada oldukça etkisiz kaldığından bahsedilmişti. Google’ın AI araştırmacıları, internette sıklıkla kullanılan çarpık metin CAPTCHA’larında gelişmiş makine öğrenimi algoritmaları uyguladı ve sonuçlar şaşırtıcıydı: Bu algoritma, en çarpık CAPTCHA’ları bile %99 başarı oranıyla çözebiliyordu. Buna karşılık, okunması fazlasıyla zorlaştırıldığı için insanların bu CAPTCHA’ları çözme oranı %33 civarında kalıyordu.

Görüntü tabanlı CAPTCHA (reCAPTCHA v2)

Bu CAPTCHA’lar kullanıcıya çeşitli görüntüler çıkarıp seçilen temaya uygun olanları ya da diğerleriyle uyuşmayanları seçmelerini ister. En bilindik olanları, yaya geçidi ya da yangın musluğu olanların seçildiği veya büyük bir görüntüdeki belli başlı karelerin tıklanıldığı CAPTCHA’lardır.

Görüntü tabanlı CAPTCHA’lar metin tabanlı olanların yerine geçmek için tasarlanmış ve çoğu platformda tam olarak bunu yapmıştır. Buna rağmen kullanıcıların bazıları, bu CAPTCHA’ları çözmenin daha kolay olduğunu düşünür.

Anlamsal kavrama ve görüntü tanıma gibi işlemler gerektiği için bu CAPTCHA’lar robotlar tarafından kolayca çözülemez.

Sesli CAPTCHA

Sesli CAPTCHA testleri, bir dizi harf veya rakamı okuyan bir ses parçası içerir. Kullanıcı, duyduğu harf ve rakamları metin kutucuğuna yazar. Ses parçasında arka plan sesleri de olduğu için robotlar tarafından kolayca anlaşılamaz.

Sesli CAPTCHA’lar metin ve görüntü CAPTCHA’larına göre nadirdir ve görme engeli olanlar için iyi bir alternatiftir.

Matematik ve mantık soruları

Bazı CAPTCHA’lar kullanıcıya basit bir matematik veya mantık bulmacası getirir. Sizden bir cümledeki eksik kelimeyi girmenizi, bir toplama işlemi yapmanızı ya da bir yapboz parçasını doğru yere koymanızı isteyebilir.

Bu bulmacalar ortalama bir insana göre fazlasıyla kolaydır ama bilgisayar programları onlardan ne istendiğini anlamayabilir. CAPTCHA kullanıcının yanıtına göre karşıdakinin insan mı yoksa robot mu olduğunu belirler.

CAPTCHA’sız reCAPTCHA

CAPTCHA’sız reCAPTCHA, 2014 yılında Google tarafından geliştirilen basit bir CAPTCHA türüdür. Bu CAPTCHA’nın kullanıcıdan tek istediği, "Ben bir robot değilim” adlı mesajın yanındaki kutucuğa tıklamasıdır.

Aslında robotlar da insanlar gibi kutucuğa tıklama becerisine sahiptir ama robotların genelde yaptığı, kutucuğun tam ortasına tıklamak olur. İnsanlar daha ön görülemez olduğu için tıklanılan yer, süre ve imlecin tıklamaya kadarki hareketi gibi kısımlarda farklılıklar ortaya çıkar. CAPTCHA bu faktörlere göre (farenin hareketi, süre, tıklama şekli, kaydırma davranışı vb.) kullanıcının gerçek hâli hakkında mantıklı bir varsayımda bulunabilir.

Eğer test ile etkileşim sırasında şüpheli bir durum ortaya çıkarsa ikinci bir CAPTCHA testi gösterilir.

Görünmez CAPTCHA (reCAPTCHA v3)

İsminden de anlayacağınız üzere, görünmez CAPTCHA’ları göremez, onlarla etkileşime giremez ya da herhangi bir bulmaca çözmek zorunda kalmazsınız. Bu CAPTCHA’lar arka planda çalışarak kullanıcın yaptığı işlemleri takip eder ve yapılanlara göre kullanıcıyı puanlar.

Kullanıcı skorunun, kullanıcının site ile olan etkileşimine göre belirlendiği bilinse de Google puanlamanın tam olarak nasıl yapıldığına dair detay vermemiştir.

Ancak bazı kaynaklar, sistemin; IP adresi, fare hareketleri, klavye girdileri ve kullanılan tarayıcı ve işletim sistemi gibi verileri topladığını iddia etmekte.

Örneğin 2023 yılında Fransız veri koruma mercisi olan CNIL, yaptığı araştırma sonrasında NS Cards France’a €105.000 ceza vermiş (yaklaşık $114.000), bunun sebebi olarak da bu online ödeme sağlayıcısının, cihaz ve uygulama verilerinin analiz için toplanıp Google’a gönderildiğine dair kullanıcılara hiçbir bilgi vermeksizin Google’ın reCAPTCHA teknolojisini kullanması gösterilmiştir.

Honeypot CAPTCHA

Honeypot CAPTCHA’yı robot tuzağı olarak düşünebilirsiniz. Bu CAPTCHA testleri insanlar değil, yalnızca robotlar tarafından görülebilir. Robotlar bu CAPTCHA’ları boş bir form olarak görür ve doldurmaya kalkar. İnsanlar bu alanları görmediğinden doldurma gibi bir işleme kalkışamaz.

Süre tabanlı formlar

Süre tabanlı CAPTCHA’lar, bir formun veya bir alanın doldurulma süresini ölçerek insanlar ile robotları ayırmaya çalışır. Robotlar bu işlemleri insanlara göre çok daha hızlı bir şekilde tamamlar. CAPTCHA bir insandan beklenemeyecek kadar hızlı bir yanıtla karşılaşırsa karşıdakinin robot olduğu kanısına varır.

CAPTCHA ve AI: Turing testi nedir?

Daha önce de belirttiğimiz üzere, CAPTCHA "İnsan ve Bilgisayar Ayrımı Amaçlı Tam Otomatik Genel Turing Testi”nin kısaltmasıdır. Taklit oyunu olarak da bilinen Turing testi, bir makinenin insan gibi davranma becerisini ölçmenin yoludur. İngiliz matematikçi, bilgisayar mühendisi ve filozof Alan Turing tarafından 1949 yılında geliştirilmiştir.

Turing ilk başta, biri bilgisayar, diğer ikisi ise insanlar tarafından yönetilen üç farklı terminalden oluşan bir testti. Bir insan soru sorar, diğer insan ve makine ise yanıt verirdi. Soruyu soran kişi, verilen yanıtlara göre hangisinin makine olduğunu belirlerdi.

CAPTCHA aynı prensipte çalışır. Ortaya bir sorun getirir ve yanıtın bir insandan mı yoksa bir robottan mı geldiğine karar verir. CAPTCHA’nın Turing testinden en büyük farkı, değerlendirme rolünü üstlenenin bir insan değil, bir yazılım olmasıdır.

CAPTCHA verilerinin gerçek dünyadaki AI uygulamaları

Google gibi şirketler AI modellerini eğitmek ve makine öğrenimini daha iyi bir hâle getirmek için yıllardır CAPTCHA kullanmaktaydı. Bu şirketler kullanıcıların farklı CAPTCHA bulmacaları ve sorularına nasıl yanıt verdiklerine dair veriler toplar ve bu verilerle yapay zekâ sistemlerini besleyerek anlamsal ilişki kurma, görsel tanıma ve diğer becerilerini geliştirir.

CAPTCHA testlerinin ilk örneği olan metin tabanlı CAPTCHA’larda, kullanıcıdan iki kelimeden oluşan bir metin yazması istenirdi. Kişi bunu bilmese de kelimelerden biri fiziki bir kitaptan alınan gerçek bir kelimenin görüntüsüydü. Kullanıcı iki kelimeyi de yazarak CAPTCHA’yı her çözdüğünde, fiziki kitap ve belgelerin dijitalleştirilmesi işine yardım etmiş oluyordu. Bu işlem sonucunda Google Books arşivinin tamamı ile milyonlarca New York Times makalesi dijitalleştirilmiş oldu.

Makine öğrenimi ve AI teknolojisi ortaya çıkıp görüntü tabanlı CAPTCHA’lar popülerleşince Google ortaya yeni bir fikir attı.

CAPTCHA testlerinin tamamlanmasıyla çıkan verilen, AI görsel tanımayı geliştirmede kullanıldı. Örneğin bir CAPTCHA’da kullanıcıların karşısına farklı görseller çıkıyor ve bunların içinden araba olanların seçilmesi isteniyordu. Google daha sonra bu verileri makine öğrenimi modellerine yedirerek yapay zekânın fotoğraflardaki arabaları daha iyi tanıyabilmesini sağladı.

Bu teknoloji, Google Haritalar’ın sonuçlarını iyileştirme (örneğin algoritmanın, apartman numaralarını daha okuyabilmesini sağlayarak), Google Görsel Arama sonuçları sağlama ve hatta kullanıcıların Google Fotoğraflar kütüphanelerindeki fotoğraflarında belli bir ögeyi arama gibi işlemlerde kullanıldı. Bu teknoloji, sokak tabelalarını görme ve anlamaya da yardımcı olduğundan şoförsüz arabalarda da kullanılmakta.

CAPTCHA’nın artıları ve eksileri

CAPTCHA hem günlük internet kullanıcılarına hem de site sahiplerine çeşitli avantajlar ve dezavantajları aynı anda getirir.

Site sahipleri için avantajları

Site sahipleri CAPTCHA teknolojisinden fazlaca yararlanır. Bot faaliyetlerini engellemeye, spam ve sahte hesapları durdurmaya, dolandırıcılığı önlemeye ve çok daha fazlasına yarar. CAPTCHA’lar ayrıca siteyi daha güvenli göstereceğinden kullanıcıda güven duygusu da oluşturabilir.

Kullanılabilirlik ve erişilebilirlik sorunları

Pek çok kişi, sitelere erişmeyi veya içerikleri izlemeyi zorlaştırdığı için CAPTCHA’ları sinir bozucu bulur. Bazıları CAPTCHA’nın amacını bilmediğinden yaşadıklarına anlam veremeyebilir; bazıları, özellikle görme engeli ya da başka bir sorunu olan kişiler ise CAPTCHA’yı çözmekte zorluk çekebilir.

Dönüşüm üzerinde olumsuz etki

CAPTCHA’ları tamamlamak zaman ve efor gerektiğinden dönüşüm oranını olumsuz şekilde etkiler ve site sahiplerinin satış yapma ve potansiyel müşteri kazanmalarını zorlaştırır.

2010 yılında Stanford Üniversitesi'nde yapılan araştırmaya göre katılımcılar için bazı CAPTCHA türleri (özellikle de sesli CAPTCHA’lar) o kadar sinir bozucuydu ki CAPTCHA’ların %50’sini çözmekten vazgeçmişlerdi.

CAPTCHA alternatifleri

CAPTCHA’nın bariz dezavantajlarını dikkate alan site sahipleri, sitelerini koruma ve robotlarını engellemede CAPTCHA alternatiflerine göz atmak isteyebilir.

Sosyal giriş CAPTCHA’sı

Sosyal giriş butonları, anti-bot koruması ve web site güvenliğinin gitgide popülerlik kazanan güvenli bir yoludur. Bu butonlar, bir kullanıcı bir platforma veya bir içeriğe erişmek istediğinde çıkar ve kullanıcıdan Google veya Facebook gibi sosyal bir hesapta giriş yapmasını ister.

Robotlar için tek tek sosyal medya profili açmak epeyce zaman ve efor gerekeceğinden sosyal giriş butonuyla spam ve dolandırıcılığın önüne geçmek mümkündür.

Bunun dezavantajı ise sosyal giriş butonlarının gizlilik ihlali olarak görülebilmesidir. Bazı kullanıcılar bir site veya platforma girmek için sosyal medya profilinde giriş yapıp kimliğini ortaya çıkarmak istemez.

Davranışsal analiz

Davranışsal analiz araçları, kullanıcı davranışlarındaki örüntüleri tarayıp şüpheli bir bot faaliyeti olup olmadığını çıkarmaya yarar.

Örneğin kullanıcıların sitedeyken fare imlecini nerelere hareket ettirdikleri, bir butona kaç kere tıkladıkları veya klavyedeki tuşlara ne kadar bastıkları takip edilerek sitedeki davranışları öğrenilir. Ayrıca kullanıcıların site içindeki hareketlerine ve belli başlı işlemler için ne kadar süre harcadıklarına da bakılır.

Robotlar genelde bu işleri çok hızlı, planlı ve dakik bir şekilde yapabilirken insanlar aynı işlemler için daha fazla zaman harcarlar ve işlemlerinde öngörülemezlik vardır. Bu sayede analiz araçları, insan ve robotları birbirinden ayırabilir.

Çok adımlı doğrulama (MFA)

MFA ve iki adımlı doğrulama (2FA) bot’ların hesap oluşturmasına ve kullanıcı hesaplarına girmesine engel olan araçlardır. Kullanıcının hesabına girebilmesi için bir geçiş anahtarı veya biyometrik bilgilerini girmesini, yani bot’ların yapamayacağı işlemleri yapmasını isteyerek ek bir güvenlik katmanı sağlar.