Når du logger på et websted online eller indtaster følsomme oplysninger, kan du nogle gange blive bedt om at klikke på et afkrydsningsfelt, matche billeder sammen eller indtaste en tilfældig række af tal og bogstaver.

Dette er kendt som en CAPTCHA . Det er designet til at stoppe ikke-menneskelig adfærd online. Men hvad betyder det egentlig? Og kan en CAPTCHA med et trin så simpelt som at sætte kryds i en boks virkelig forhindre bots i at udføre handlinger online?

Lad os tage et dybere kig på, hvad CAPTCHA er, og hvordan det bruges til at bringe sikkerhed overalt på internettet.

Hvad er CAPTCHA?^{(What Is CAPTCHA?)}

CAPTCHA er et mærkeligt ^(CAPTCHA)akronym for ^(T)en^(A) ret letforståelig sætning – den står for Fuldstændig A utomeret offentlig^(C) test for^(P) at fortælle computere^(C) og mennesker ^(H)en^(A) del .

Så i det væsentlige er CAPTCHA , som vi kender det online, en automatiseret test for at afgøre, om en bruger er et menneske eller en bot. En bot kunne være automatiseret software designet til at sende spamkommentarer online, brute force login-sider med en række adgangskoder eller måske software, der forsøger automatisk at skrabe information fra andre websteder. Ved at bruge en CAPTCHA kan bots forhindres i at udføre automatiseret adfærd som denne.

En CAPTCHA kan virkelig være hvad som helst, så længe den kan bruge en form for test, der kun kan beståes ved at tænke som et menneske. Tidligere ville den mest almindelige type CAPTCHA være en række blandede bogstaver og tal, som brugerne ville indtaste for at bestå testen.

Bogstaverne blev tegnet med næsten uegnet skrifttype, for at gøre det meget svært for enhver form for automatiseret software at læse det. Det virkede, men da AI blev mere kraftfuldt, var den sikkerhed, den tilbød, tvivlsom, som årene gik.

I disse dage er den mest almindelige CAPTCHA , du vil se online, fra Google , kaldet re CAPTCHA . Der er alternativer, men vi kan bruge Googles^(Google) som en forklaring på, hvordan det hele fungerer.

Typerne af reCAPTCHA og virker de?^{(The Types Of reCAPTCHA & Do They Work?)}

Google har nu gennemgået tre store iterationer af reCAPTCHA-softwaren. Lad os tage et kig på, hvordan hver version adskiller sig fra hinanden, og hvordan de arbejder for at stoppe bots.

reCAPTCHA v1 – Traditionel teksttest^{(– Traditional Text Test)}

Den originale reCAPTCHA v1 ser måske nostalgisk ud for dig nu, og det er fordi den ikke bruges længere, med god grund. Denne metode vil kræve, at brugerne skriver ord ved at læse og omskrive, hvad de så på skærmen. Teksten var altid svær at læse, i et forsøg på at forhindre bots i at knække den.

I sidste ende gav dette niveau af CAPTCHA ikke meget beskyttelse i lang tid, og med et så frustrerende system irriterede det brugere og mistede mange webstedsejere trafik.

Da vi bevægede os ind i æraen med mobil og svækkende opmærksomhed, ønskede Google at skabe en bedre løsning, og dermed blev reCAPTCHA v1 skrottet, og v2 blev født.

reCAPTCHA v2 – I'm Not a Robot Checkbox

reCAPTCHA v2 var et stort skridt i den rigtige retning. Med reCAPTCHA v2 vil Googles software være opmærksom på dine tastetryk og den måde, din mus bevæger sig på, for at afgøre, om du er en robot eller ej.

Med hver interaktion på et websted med reCAPTCHA v2, vil softwaren lære mere om, hvad menneskelig adfærd er og ikke er, hvilket gør den mere nøjagtig, efterhånden som den lærer. Hvis din adfærd er menneskelig, kommer du igennem ved blot at klikke på afkrydsningsfeltet.

Hvis du bliver markeret som mistænkelig, bliver du bedt om at klikke på matchende billeder på et billede. Dette er en test, der giver slutbrugeren kun 55 sekunder til at løse. For en bot ville dette virke vanskeligt, og Google ser ud til at stå ved det for at beskytte websteder mod bots. En Google -søgning vil dog afsløre alle mulige undersøgelser, tests og software, der hævder, at de har brudt systemet med en bot.

Sammenfattende vil reCAPTCHA v2 stoppe bots, det vil bremse bots, måske til det punkt, hvor det ikke er værd at prøve, men det stopper måske ikke altid en motiveret person eller organisation.

reCAPTCHA v3 – Skjult CAPTCHA

reCAPTCHA 3 er anderledes end de førnævnte muligheder. I stedet for at udføre en test for at afgøre, om en bruger er en bot eller ej, vil reCAPTCHA overvåge en brugers interaktion med et websted for at give denne bruger en score.

Denne score vil bruge forskellige faktorer, såsom hvordan de bevæger sig rundt på webstedet, eller hvilke sider de besøger først, og sikkerhedskopiere det med tidligere data.

En webstedsejer kan derefter konfigurere reCAPTCHA v3 til enten at blokere eller nægte en bruger adgang afhængigt af deres scoreniveau. Alternativt kan det sættes op, så handlinger begrænses eller begrænses i kort tid, indlæg sendes til moderationskøer, eller der kræves sekundær autentificering.

Endnu en gang er der undersøgelser i gang for at forsøge at knække reCAPTCHA v3^{(try to crack reCAPTCHA v3)} . Denne gang søger forskere dog at skabe en AI, der kan besøge en webside og udføre handlinger der så menneskelige som muligt for at bestå de usynlige CAPTCHA - tests.

Så virker CAPTCHA faktisk?^{(So Does CAPTCHA Actually Work?)}

Hidtil har én ting været klar – forskning har vist, at CAPTCHA eller re CAPTCHA ikke stopper al ikke-menneskelig aktivitet. Det begrænser dog markant bottrafik og stopper størstedelen af den i sine spor. Så i den forstand kan vi sige, at CAPTCHA virker, selvom det ikke har en succesrate på 100 %.

Måske bliver AI klogere og vil være i stand til at agere mere menneskelig, men i så fald vil Google droppe CAPTCHA v4, eller andre CAPTCHA- udviklere vil udgive noget nyt.

Det er som et endeløst spil med kat og mus. I sidste ende gør et websted meget bedre at have CAPTCHA , og det kan reducere botaktivitet fra tusindvis til næsten minimale mængder.

HDG Explains: What Is CAPTCHA & How Does It Work?

When signing into a website online, or entering sensitіve іnformation, you may sometimes be asked to click a tick box, match images together, or type in a random series of numbers and letters.

This is known as a CAPTCHA. It’s designed to stop non-human behavior online. But what does that actually mean? And can a CAPTCHA with one step as simple as ticking a box really stop bots from performing actions online?

Let’s take a deeper look into what CAPTCHA is and how it is used to bring security throughout the internet.

What Is CAPTCHA?

CAPTCHA is a strange acronym for a pretty easy to understand sentence – it stands for Completely Automated Public Turing test to tell Computers and Humans Apart.

So, essentially CAPTCHA, as we know it online, is an automated test to determine whether a user is a human or a bot. A bot could be automated software designed to post spam comments online, brute force login pages with a series of passwords, or perhaps software that tries to automatically scrape information from other websites. By using a CAPTCHA, bots can be stopped from performing automated behavior like this.

A CAPTCHA could really be anything, so long as it can use some kind of test that can only be passed by thinking like a human. In the past, the most common type of CAPTCHA would be a series of jumbled letters and numbers that users would type to pass the test.

The letters were drawn with almost ineligible font, to make it very hard for any type of automated software to read it. It worked, but with AI getting more powerful, the security it offered was questionable as the years went on.

These days, the most common CAPTCHA you will see online is from Google, called reCAPTCHA. There are alternatives, but we can use Google’s as an explanation of how it all works.

The Types Of reCAPTCHA & Do They Work?

Google has gone through three major iterations of the reCAPTCHA software now. Let’s take a look at how each version differs from each other and how they work to stop bots.

reCAPTCHA v1 – Traditional Text Test

The original reCAPTCHA v1 may look nostalgic to you now, and that’s because it’s not used anymore, for good reason. This method would require users to type words by reading and rewriting what they saw on the screen. The text was always hard to read, in an attempt to stop bots from cracking it.

Ultimately, this level of CAPTCHA didn’t provide much protection for long, and with such a frustrating system, it annoyed users and lost many website owners traffic.

As we moved into the era of mobile and weakening attention spans, Google wanted to create a better solution and thus, reCAPTCHA v1 was scrapped and v2 was born.

reCAPTCHA v2 – I’m Not a Robot Checkbox

reCAPTCHA v2 was a huge step in the right direction. With reCAPTCHA v2, Google’s software will pay attention to your key presses and the way your mouse is moving to determine whether you are a robot or not.

With every interaction on a website with reCAPTCHA v2, the software will learn more about what human behavior is and isn’t, making it more accurate as it learns. If your behavior is humanlike, you’ll get through with just clicking the checkbox.

If you get flagged as suspicious, you’ll be asked to click matching pictures on a photo. This is a test that gives the end user just 55 seconds to solve. For a bot, this would seem tricky, and Google seem to stand by it for protecting websites against bots. However, a Google search will reveal all sorts of studies, tests, and software that claim they’ve broken the system with a bot.

In summary, reCAPTCHA v2 will stop bots, it will slow down bots, perhaps to the point where it’s not worth trying, but it may not always stop a motivated individual or organisation.

reCAPTCHA v3 – Hidden CAPTCHA

reCAPTCHA 3 is different to the aforementioned options. Instead of serving a test to determine whether a user is a bot or not, reCAPTCHA will monitor a user’s interaction with a website to give that user a score.

That score will use varying factors, such as how they move around the site, or what pages they visit first, and back that up with previous data.

A website owner can then set up reCAPTCHA v3 to either block or deny a user access depending on their score level. Alternatively, it can be set up so that actions are throttled or limited for a short time, posts are sent to moderation queues, or secondary authentication is required.

Once again, there are studies being done to try to crack reCAPTCHA v3. This time, though, researchers are looking to create an AI that can visit a webpage and perform actions there as humanlike as possible to pass the invisible CAPTCHA tests.

So Does CAPTCHA Actually Work?

So far, one thing has been clear – research has shown that CAPTCHA, or reCAPTCHA, does not stop all non-human activity. However, it does severely limit bot traffic and stop the majority of it in its tracks. So, in that sense, we can say that CAPTCHA works, even if it doesn’t have a 100% success rate.

Perhaps AI will get smarter and will be able to act more human like, but in that case, Google will drop reCAPTCHA v4, or other CAPTCHA developers will release something new.

It’s like an endless game of cat and mouse. Ultimately, a website does much better to have CAPTCHA and it can reduce bot activity from the thousands into almost minuscule amounts.

Hans Lindgren

About the author

Jeg er datamatiker med over 10 års erfaring med softwareudvikling og sikkerhed. Jeg har en stærk interesse i Firefox, Chrome og Xbox-spil. Især er jeg særligt interesseret i, hvordan jeg sikrer, at min kode er sikker og effektiv.

HDG forklarer: Hvad er CAPTCHA, og hvordan virker det?

Hvad er CAPTCHA?^{(What Is CAPTCHA?)}