Wat zijn CAPTCHA’S? En wat betekent ‘ik ben geen robot’?

Een CAPTCHA kan meerdere vormen aannemen. Het enkele selectievakje naast de verklaring “Ik ben geen robot.” is de zogenaamde reCAPTCHA van Google – een gratis dienst van Google die websites tegen spam en misbruik helpt te beschermen.

CAPTCHA-authenticatie wordt vooral gebruikt om spam te voorkomen op websites waar je gegevens moet invoeren. Ook wanneer je je wilt aanmelden voor een nieuwsbrief of een online enquête krijg je steeds vaker te maken met CAPTCHA-authenticatie. Hiermee kan de website bots definiëren en de toegang tot de website ontzeggen.

Een bot is een autonoom computerprogramma dat automatisch taken kan uitvoeren. Ze kunnen voor verschillende doeleinden worden gebruikt, zoals voor het uitvoeren van DDoS-aanvallen en het verspreiden van malware. Door gebruikers een CAPTCHA op te laten lossen en daarmee te laten bewijzen dat ze een mens zijn, wordt de input van spambots voorkomen.

reCAPTCHA is een gratis tool van Google voor website-eigenaars die websites tegen spam en misbruik helpt te beschermen. Dankzij deze service hoeven bezoekers niet meer eindeloos plaatjes met zebrapaden aan te klikken of moeilijk leesbare codes te ontcijferen. Het enige wat je hoeft te doen, is het vakje aan te vinken bij ‘Ik ben geen robot’. Gebruik je Google, maar werkt reCAPTCHA niet? Dan is dat mogelijk te wijten aan een browserextensie, zoals een adblocker. Het uitschakelen van deze browserextensie lost het probleem vaak op.

Het doel van CAPTCHA’s is om te voorkomen dat geautomatiseerde software misbruik van websites maakt. Ze worden met name getoond wanneer je je aanmeldt voor nieuwe diensten of je wachtwoord wilt wijzigen. Het is een extra methode om te controleren of de website met een mens of een bot te maken heeft.

Gebruikers van Google moeten erop kunnen vertrouwen dat hun informatie goed beveiligd wordt. Met CAPTCHA-authenticatie kan Google voorkomen dat bots toegang tot je account krijgen. Om het voor gebruikers makkelijker te maken, heeft Google reCAPTCHA geïntroduceerd. Als je zelf een website hebt en wilt voorkomen dat je voortdurend spam binnenkrijgt, kun je een sleutel voor reCAPTCHA aanvragen. Dit doe je als volgt:

1. Ga naar de reCAPTCHA-pagina van Google.
2. Vul je Label in.
3. Selecteer je reCaptcha-versie.
4. Voeg alle gewenste domeinen toe.
5. Accepteer de voorwaarden.
6. Klik op ‘Submit’.

Als je het vakje naast ‘Ik ben geen robot’ eenmaal hebt aangevinkt, zou het moeten verdwijnen. De cookies op de website zouden deze informatie voor je volgende bezoek moeten onthouden. Gebruik je een VPN, dan kan het gebeuren dat de melding steeds weer terugkomt. Dat heeft te maken met de manier waarop een VPN werkt. Een VPN wijst meerdere gebruikers namelijk hetzelfde IP-adres toe.

Je eigen IP-adres wordt daarmee afgeschermd, waardoor je veiliger en in privacy online kunt surfen. Maar als meerdere VPN-gebruikers dezelfde website met hetzelfde IP-adres bezoeken, wekt dat argwaan op bij de eigenaars van de websites. Op het eerste oog zouden dit ook spambots kunnen zijn en daarom wordt er steeds automatisch een CAPTCHA-authenticatiescherm getoond.

Er zijn een aantal manieren om te voorkomen dat je deze melding steeds ziet:

• Schakel je VPN uit (dit is niet aan te raden).
• Verbind met een andere server.
• Gebruik een dedicated IP-adres dat exclusief door jou wordt gebruikt.

CAPTCHA’s gebruiken elementen die bots niet kunnen herkennen om te testen of een gebruiker echt menselijk is. Mensen zijn gewend om allerlei soorten materiaal (tekst, afbeeldingen, enz.) te zien en te interpreteren en kunnen normaal gesproken vervormde tekst en onduidelijke afbeeldingen interpreteren. Computerprogramma’s zoals bots kunnen dit daarentegen niet.

Veel bots proberen willekeurige tekens in te voeren of afbeeldingen te selecteren, maar de kans dat ze voor de test ‘slagen’ is erg klein.

Naarmate geavanceerde bots echter nauwkeuriger worden in het identificeren van tekst en afbeeldingen via machinaal leren, zullen CAPTCHA’s ook steeds complexer moeten worden.

CAPTHA’s zijn er in verschillende soorten en maten.

De meeste internetgebruikers kennen dit type CAPTCHA. Je krijgt een code te zien, waarvan de cijfers en letters opzettelijk zijn vervormd, vervaagd of vermengd met achtergrondpatronen, en moet de juiste code invoeren om verder te gaan.

Je krijgt een scherm te zien, dat opgedeeld is in 9 of 16 vakken. Soms wordt het scherm gevuld met één enkele afbeelding. De andere keer wordt in ieder afzonderlijk vak een andere afbeelding weergegeven. Het is de bedoeling dat je de vakken of afbeeldingen selecteert, waarop bepaalde objecten – zoals bomen, zebrapaden of verkeerslichten – zichtbaar zijn.

Hierbij moet de gebruiker iets hardop voorlezen. Het voordeel van deze authenticatiemethode is dat deze ook voor slechtzienden goed te doen is.

Er zijn ook CAPTCHA’s die je vragen om een paar puzzelstukjes naar de juiste plek te slepen. Of die de gebruiker vragen om een woordraadsel op te lossen. Deze laatste vorm is minder efficiënt, omdat ook spambots en AI deze raadsels vrij makkelijk op kunnen lossen. En daarnaast moeten raadsels ook aan de taal van de gebruiker aangepast worden.

Social login staat ook bekend als ‘verificatie door derden’. Hiermee wordt bedoeld dat je ergens kunt inloggen via bijvoorbeeld je Google- of Facebookaccount. Het voordeel hiervan is dat je kunt profiteren van de sterke beveiliging die sociale netwerken bieden, zoals tweefactorauthenticatie en multifactorauthenticatie.

Google’s reCaptcha v3 API verzamelt en analyseert de bewegingen en acties van de gebruiker op de pagina om een score te genereren die een mens van een bot onderscheidt.

Hoewel CAPTCHA’s veel problemen voorkomen, hebben ze ook een aantal nadelen:

1. Slecht toegankelijk voor slechtzienden. CAPTCHA’s zijn slecht toegankelijk voor slechtzienden, met uitzondering van de CAPTCHA’s die spraakauthenticatie gebruiken.
2. Geen volledige bescherming. Ze bieden geen volledige bescherming tegen bots. Hoe geavanceerder de bot, hoe meer kans dat deze er toch langs kan komen.
3. Frustratie.Ze kunnen tot frustratie leiden, omdat afbeeldingen en codes ook voor menselijke gebruikers vaak erg moeilijk om te ontcijferen zijn.

CAPTCHA’s helemaal voorkomen is niet mogelijk, maar om niet telkens weer geconfronteerd te worden met lastige CAPTCHA-puzzels en vervelende vinkjes, kun je een paar dingen doen:

• Persoonlijk IP-adres. Gebruik een dedicated IP-adres dat exclusief door jou wordt gebruikt.
• Verander van server. Verander van serverlocatie als je via een VPN met het internet bent verbonden.
• Vermijd openbare wifi. Vermijd publieke wifi-netwerken, omdat deze vaak onbeveiligd zijn en het risico groter is dat ze door CAPTCHA als riskant gemarkeerd worden.
• Download een extensie. Gebruik een browserextensie of add-on om CAPTCHA’s te blokkeren.

Helaas zijn CAPTCHA’s niet 100% effectief in het weren van kwaadwillende bots. Sommige bots kunnen CAPTCHA-authenticatie omzeilen. Bovendien leren bots dankzij de snelle ontwikkelingen binnen AI steeds meer als mensen te denken. Om bots volledig te blokkeren, zul je dus extra beveiligingsmaatregelen moeten treffen.

Bots die voor kwaadaardige doeleinden worden gebruikt zijn een type malware. Om malware te voorkomen kun je Threat Protection van NordVPN gebruiken. Dit is een krachtige antimalware-tool die voorkomt dat je toegang krijgt tot schadelijke websites die malware hosten, je downloads op malware scant en je apparaat beschermt.