reCAPTCHA – wszystko o następcy systemu CAPTCHA

Każdy użytkownik Internetu chociaż raz w życiu spotkał się z trudnym do wymowy terminem, jakim jest „CAPTCHA”. Jest on powszechny, znany i sprowadza się do prostej czynności, którą trzeba po prostu „odbębnić”. Niewiele jednak osób zdaje sobie sprawę, co za tym hasłem tak naprawdę się kryje – w praktyce jest to nic innego, jak bezpieczeństwo stron internetowych, a także ich użytkowników.

Historia CAPTCHA i reCAPTCHA

Historia CAPTCHA i reCAPTCHA zaczęła się jeszcze w latach 90. XX wieku. Wtedy to próbowano stworzyć ochronę witryn przed botami i spamem. W latach 1996-1997 powstała koncepcja, którą stworzył Moni Naro. W 1997 roku Mark D. Lillibridge po raz pierwszy użył technologii, aby odróżnić ludzi od automatów. W 2009 roku natomiast Luis von Ahn opracował reCAPTCHA. Z kolei w 2014 roku Google wprowadził nową wersję – „NoCAPTCHA reCAPTCHA„.

Definicja reCAPTCHA i CAPTCHA – co to jest i do czego służy?

CAPTCHA (z języka angielskiego: Completely Automated Public Turing test to tell Computers and Humans Apart) jest zautomatyzowanym systemem ochronnym przed spamem. Jego celem jest odróżnienie ludzi od komputerów (botów, robotów spamowych). Sposób takiej weryfikacji opiera się głównie na prostych zadaniach, takich jak np. odczytanie zniekształconego wyrazu lub ciągu cyfr z wyświetlonego obrazu czy rozwiązanie zadania matematycznego. Procedury CAPTCHA wykorzystywane są głównie na stronach internetowych w celu umocnienia profilu bezpieczeństwa i ochrony formularzy rejestracyjnych lub innych wrażliwych działań na witrynie. Rozwiązanie to było skuteczne przeciwko wszechobecnemu spamowi i działalności botów, jednak bardzo męczące oraz nieprzyjazne dla użytkownika.

Wychodząc naprzeciw oczekiwaniom użytkowników, firma Google stworzyła nowy system ochrony przed spamem – reCAPTCHA. Polega on na potwierdzeniu przez użytkownika, że jest człowiekiem, a nie robotem, stanowiąc ochronę stron internetowych. Dokładnie tak samo, jak jego poprzednik, reCAPTCHA służy do wzmocnienia bezpieczeństwa stron internetowych przed różnego rodzaju skryptami i botami. Jest o wiele skuteczniejszy niż tradycyjne CAPTCHA, ponieważ jego działanie oparte zostało na uczeniu maszynowym oraz innych metodach analitycznych, takich jak analiza aktywności użytkownika, danych urządzenia oraz reputacji adresu IP.

Uważa się, że reCAPTCHA jest swoistym następcą i ewolucją systemu CAPTCHA. Obecnie obu tych terminów używa się zamiennie pomimo znaczących różnic technologicznych czy fundamentów ich działania.

Rodzaje reCAPTCHA – reCAPTCHA v1, reCAPTCHA v2 i reCAPTCHA v3

Istnieje wiele rodzajów i wersji reCAPTCHA, które różnią się między sobą sposobem prezentacji zadania, a także poziomem trudności. Oto kilka przykładów.

• reCAPTCHA v1: najstarsza wersja tego systemu uwierzytelniania, która aktualnie nie jest objęta wsparciem technicznym. Wersja ta wykorzystywała zniekształcone słowa przeskanowane przez oprogramowanie typu OCR, co sprawiało, że komputer nie był w stanie ich odczytać, użytkownik jednak radził sobie z nimi bezproblemowo.
• reCAPTCHA v2: najpopularniejsza wersja systemu reCAPTCHA. Polega ona na wybraniu odpowiedniej grafiki / odpowiednich fragmentów grafiki na podstawie wyświetlonego polecenia w formie tekstowej (np. zaznaczenie wszystkich kafelków występujących na grafice, które przedstawiają samochód).
• reCAPTCHA v2 (Invisible): ulepszona wersja opisanego powyżej rozwiązania, która częściowo jest „niewidzialna”. W przypadku zaistnienia podejrzenia o zautomatyzowane działania symulujące naturalne zachowanie użytkownik zostanie poproszony o zaznaczenie checkboxa „Nie jestem robotem” w celu weryfikacji swojej tożsamości. Jednak przy wzmożonych podejrzeniach (po wielokrotnym wykryciu nienaturalnego zachowania) użytkownik zostanie poproszony o wykonania zadania z wersji v2 (np. wybór odpowiednich kafelków na grafice).
• reCAPTCHA v3: najnowsza i jednocześnie najbardziej zalecana przez firmę Google wersja reCAPTCHY. Wyróżnia ją całkowita niewidoczność i nieinwazyjny sposób działania dla użytkownika. Opiera się ona na ocenie ryzyka zachowania użytkownika na podstawie generowanego przez niego ruchu. Google nie informuje, w jaki sposób działa algorytm trzeciej wersji reCAPTCHY w celu maksymalizacji bezpieczeństwa stron wykorzystujących tę wersję tego systemu.

Jak wygląda integracja reCAPTCHA? Wdrożenie

Sprowadza się to do wyboru odpowiedniej wersji. W przypadku reCAPTCHA v2 dla osób niepełnosprawnych wzrokowo najlepiej udostępnić wersję audio. Wtedy usłyszą oni liczby do wpisania. Natomiast v3 działa w tle i polecana jest osobom, które borykają się z motorycznymi ograniczeniami. Ich zachowanie jest analizowane i nie wymaga aż tak aktywnego potwierdzenia tożsamości.

Aby dostosować interfejs, warto wprowadzić:

• zrozumiałość instrukcji,
• prostotę przekazu,
• alternatywne sposoby weryfikacji.

Do tych ostatnich można zaliczyć nieskomplikowane zadania matematyczne czy inne formy CAPTCHA.

Google reCAPTCHA a bezpieczeństwo UX

Google reCAPTCHA to innowacyjne narzędzie, które znacznie wpływa na bezpieczeństwo UX (wzorcowe doświadczenie użytkownika). Jego głównym zadaniem jest ochrona stron internetowych przed nieautoryzowanym dostępem oraz automatycznymi atakami. Dzięki zastosowaniu zaawansowanych algorytmów, reCAPTCHA potrafi rozróżnić prawdziwych użytkowników od botów, zapewniając tym samym wysoki poziom ochrony. Co więcej, narzędzie to zostało zaprojektowane z myślą o wygodzie użytkowników, dzięki czemu jego obsługa jest prosta i intuicyjna.

reCAPTCHA – czy warto?

Jeśli chcesz zadbać o ochronę strony WWW i zwiększyć poziom jej bezpieczeństwa, to reCAPTCHA nadaje się do tego idealnie. W ten sposób chronisz witrynę przed np. złośliwym oprogramowaniem lub niepożądanym spamem. Taki system pozwala również kontrolować liczbę rejestracji czy wypełnionych ankiet ludzi – prawdziwych użytkowników, a nie robotów sztucznie podbijających statystyki. Co więcej, dodatkowa weryfikacja na etapie rejestracji lub dokonania zakupu/transakcji zwiększa poczucie bezpieczeństwa użytkownika i pozytywnie wpływa na wiarygodność witryny.

Przy zastosowaniu technologii reCAPTCHA należy pamiętać o kilku kwestiach.

• Takie rozwiązanie może drastycznie obciążyć moce przerobowe serwera.
• Trzeba upewnić się, czy wprowadzenie narzędzia nie spowolni działa strony, tym samym utrudniając użytkownikom korzystanie z niej.
• Kolejną kwestią jest dostępność. Internet jest miejscem dla każdego, w tym osób z niepełnosprawnościami i dysfunkcjami. Trzeba zadbać o niezwykle ważny aspekt, jakim jest dostępność (accessibility). Dobrą praktyką – a w przyszłości zapewne wymaganą na każdej stronie internetowej – jest zadbanie o użytkowników i zaprojektowanie weryfikacji reCAPTCHA tak, aby posiadała ona alternatywne wersje dla użytkowników ze specjalnymi potrzebami np. możliwość zmiany tradycyjnej weryfikacji na weryfikację dźwiękową/głosową.

reCAPTCHA – podsumowanie

System weryfikacji reCAPTCHA jest z pewnością godny uwagi. Zdecydowanie warto mu się bliżej przyjrzeć i zastanowić się nad wdrożeniem tego rozwiązania w celu maksymalizacji ochrony i bezpieczeństwa przed spamem oraz bezwartościowymi, a czasami wręcz szkodzącymi witrynie linkami. Wyjątku nie stanowią tutaj również ataki za pomocą złośliwego oprogramowania. Wszelkie technologie, a także metody, na podstawie których działają boty, roboty spamerskie oraz skrypty, prężnie się rozwijają, dlatego też trzeba być uważnym i być na bieżąco w tej sprawie, aby w porę zareagować na liczne niebezpieczeństwa.