Cos'è il CAPTCHA? Come fa a sapere che non sei un robot?

Perché i siti web utilizzano CAPTCHA? Da dove viene questa protezione? E perché è un evento così comune?

Qualsiasi sito web può essere bersaglio di attacchi informatici, abusi digitali e bot che raccolgono informazioni personali dei visitatori per scopi dannosi. Il CAPTCHA è stato progettato per proteggere da tali abusi e attacchi bot.

Anche in redazione, una volta effettuato il login, il computer verifica se siamo un robot o un essere umano. A volte dobbiamo solo spuntare la finestra, altre. ma dobbiamo trovare sullo schermo tutte le foto con un idrante o qualcosa di simile. Perché questa differenza, lo scoprirai di seguito.

Cos'è comunque un CAPTCHA?

CAPTCHA è l'acronimo di "Completely Automated Public Turing Test to Tell Computers and Humans Apart" (test di Turing pubblico completamente automatizzato per distinguere i computer dagli esseri umani). In poche parole, si tratta di un test casuale con una sfida e una soluzione esatta che i siti Web utilizzano per difendersi dagli attacchi. 40 % di tutto il traffico globale sul Web viene effettuato da bot, quindi puoi facilmente immaginare il danno che possono causare. Se li riconosci fin dall’inizio e lasci che solo le persone accedano al sito web, puoi risparmiarti molti problemi.

Come si è evoluta la tecnologia CAPTCHA?

I primi test CAPTCHA apparvero verso la fine degli anni Novanta del secolo scorso e consistevano in immagini distorte con una combinazione di lettere e numeri. La tecnologia è stata sviluppata da diversi di diversi gruppi con l'obiettivo di facilitare la lotta contro bot e hacker. Ricordi il motore di ricerca di AltaVista? I loro sviluppatori volevano impedire ai bot di aggiungere indirizzi web dannosi al database.

Il termine CAPTCHA stesso è stato il primoč utilizzato nel 2003, coniato da un gruppo di ricercatori di informatica della Carnegie Mellon University. L'impulso allo sviluppo è stato dato dal discorso del direttore dell'allora colosso Yahoo, che ha parlato dei problemi con gli spider che creavano milioni di indirizzi e-mail falsi.

Un gruppo di ricercatori ha creato un programma per computer che prima generava un testo casuale, poi creava un'immagine distorta di questo testo (che veniva chiamata CAPTCHA) e infine chiedeva all'utente di risolverlo e di cliccare sulla casella "Non sono un robot" . ". A quel tempo, la tecnologia di riconoscimento ottico dei caratteri (OCR) non riusciva a decifrare questo semplice puzzle, quindi i robot non superarono il test CAPTCHA come scommessa. Subito dopo, Yahoo ha richiesto ai suoi utenti di completare con successo un test CAPTCHA prima di accedere a un indirizzo email. Il calo del numero di bot ha incoraggiato anche altre aziende a implementare CAPTCHA sicuri.

Inevitabilmente, però, gli hacker hanno sviluppato algoritmi in grado di ingannare in modo affidabile la nuova protezione. Questa battaglia continua ancora oggi.

reCAPTCHA v1– un aggiornamento che però non è riuscito a fermare i bot

Nel 2007, Luis von Ahn, membro del team originale che sviluppò il sistema CAPTCHA, introdusse reCAPTCHA v1, con il quale voleva rendere più difficile il compito agli hacker e migliorare la precisione del riconoscimento ottico dei caratteri, utilizzato per digitalizzare i testi stampati. . Gli hacker si sono imbattuti in immagini ancora più distorte e presto anche le parole sono state cancellate.

Ha migliorato l'OCR sostituendo un'immagine di testo confuso generato casualmente con due immagini confuse di parole scansionate da testi reali da due diversi programmi OCR. La prima parola, o parola di controllo, era una parola riconosciuta correttamente da entrambi i programmi OCR; la seconda parola era una parola non riconosciuta dal programma OCR. Se l'utente identificava correttamente la parola di controllo, il programma reCAPTCHA presupponeva che l'utente fosse umano.

Due anni dopo, Google è intervenuta, acquistando la nuova tecnologia e utilizzandola per digitalizzare testi per Google Libri e concedendola in licenza ad altre società. Lo sviluppo della tecnologia OCR è stato allo stesso tempo terreno fertile per gli hacker, che l’hanno utilizzata diligentemente per sviluppare algoritmi avanzati che hanno iniziato a risolvere con successo le nuove sfide reCAPTCHA. Nel 2012 sono emerse sfide relative alle immagini reCAPTCHA che potrebbero ingannare l'OCR pur essendo più ottimizzate per i dispositivi mobili.

reCAPTCHA v2– migliore, ma invasivo per gli utenti

La seconda versione (reCAPTCHA v2 o no CAPTCHA reCAPTCHA) ha eliminato completamente le sfide relative a testo e immagini. Invece, ha iniziato a essere utilizzata una semplice casella di controllo "Non sono un robot" e, dietro le quinte, reCAPTCHA v2 analizza le interazioni dell'utente con le pagine Web, la velocità con cui l'utente digita e analizza anche i cookie, la cronologia del dispositivo e l'IP. indirizzo. Tiene traccia anche del movimento del mouse. Agli utenti che ritengono il sistema sospetto viene presentata una sfida CAPTCHA, mentre gli altri possono continuare a navigare.

Questa protezione più recente ha una protezione maggiore. carenze. Poiché fa molto affidamento sui cookie, è più amichevole per gli utenti del browser Chrome e per quelli che hanno effettuato l'accesso con un account Google. Ad esempio: gli utenti di Firefox (o Brave, Opera …) che hanno disattivato i cookie di terze parti avranno più le possibilità che venga loro presentata una sfida CAPTCHA.

Con il progresso dell’intelligenza artificiale, i robot possono risolvere anche le sfide reCAPTCHA più avanzate. Le persone malintenzionate possono anche aiutarsi con queste farm CAPTCHA, che sono un servizio automatizzato in cui gli sviluppatori di bot utilizzano manodopera umana a basso costo per risolvere le sfide CAPTCHA.

Altro poiché era ovvio che l’esistenza della protezione non era sufficiente.

reCAPTCHA v3– C’è una dipendenza ancora maggiore dall’intelligenza artificiale

Il terzo aggiornamento rimuove completamente la casella di controllo "Non sono un robot" e fa ancora più affidamento sull'intelligenza artificiale e sulla sua capacità di analizzare i fattori di allarme. reCAPTCHA v3 si integra con il sito Web tramite un'API JavaScript e viene eseguito in background. Valuta gli utenti su una scala da 0 (bot) a 1 (umano) in base alle loro azioni online. I proprietari o gli amministratori del sito web possono impostare azioni automatiche che vengono attivate se reCAPTCHA riconosce un possibile bot. Ad esempio, prima di accedere al profilo, può essere richiesta l'autenticazione a più fattori, un commento sul forum deve essere prima approvato dal moderatore e così via.

Il metodo è più amichevole per gli utenti che non sanno nemmeno che questo tipo di protezione viene implementato in background. Tuttavia, qui la questione della privacy è sempre presente e, allo stesso tempo, con la nuova generazione, hanno più è lavoro degli amministratori web che devono decidere dove si trova la soglia per una determinata risposta.

A cosa serve il CAPTCHA?

• Prevenire le registrazioni false, con le quali i bot sfruttano il sistema per inviare spam, codice dannoso e altre attività informatiche.
• Il CAPTCHA viene utilizzato in alcuni luoghi per proteggersi da transazioni sospette. Anni fa abbiamo avuto una crisi dei chip, di cui i bot hanno approfittato, ad esempio, per acquistare maggiori scorte di schede grafiche, che hanno poi rivenduto a prezzi più alti.
• Sondaggi online, sondaggi, sondaggi d'opinione sono spesso bersaglio di bot che vogliono distorcere i risultati.
• I truffatori e i criminali informatici spesso utilizzano commenti e recensioni di prodotti per diffondere truffe e malware o per aumentare artificialmente il posizionamento di un determinato prodotto in un negozio online (Amazon, eBay …).

Gli esempi di utilizzo sono molteplici, ma hanno in comune la lotta contro i bot, che vengono utilizzati dai malintenzionati perché vogliono trarre vantaggio a scapito dei visitatori online. Il CAPTCHA non è una sicurezza impenetrabile, ma è senza dubbio importante per l'integrità del web e dei suoi visitatori.