Hva er CAPTCHA, og hvordan fungerer det?

CAPTCHA er en sikkerhetsmekanisme for å verifisere at en handling utføres av et menneske, og ikke en bot. Hensikten er å forhindre angrep fra automatiserte programmer som kan overbelaste tjenester, opprette falske kontoer eller utføre andre uønskede handlinger.

En CAPTCHA er en slags test som må bestås for å få videre tilgang til en tjeneste. Testen var opprinnelig kun en visuell gjenkjenning av forvrengte tall og bokstaver. Etter hvert har flere alternativer som bilder, lyd og logikk blitt tatt i bruk. Maskiner og roboter har problemer med å tyde slike tester.

CAPTCHA fungerer som en ekstra sikkerhetsbarriere der brukere må klare en test for å komme videre. Disse genereres automatisk ved hjelp av algoritmer. Tekst og bilder trekkes tilfeldig fra databaser, før det hele settes sammen av algoritmen. Hvis en bruker ikke består testen, blir de bedt om å prøve på nytt.

En CAPTCHA-test kan utløses hvis:

• Brukerens IP-adresse er identifisert som en bot
• Bilder eller annet innhold ikke lastes inn på en nettside.
• Det gjøres flere forsøk på å laste inn en side
• Brukeren ikke er logget på Google
• Systemet oppdager unormal klikking, lite musebevegelse eller perfekt klikking midt på avkrysningsbokser
• Brukerens nettleserhistorikk er tom
• En bruker klarer ikke første CAPTCHA-test.

CAPTCHA regnes generelt som en trygg tjeneste, men den kan hackes. Det er også utviklet mer avanserte typer som gjør det vanskeligere for roboter å få tilgang. Et eksempel på dette er RECAPTCHA, som overvåker brukeradferd. Selv om dette gjør tjenesten sikrere mot uønsket tilgang fra roboter, går det på bekostning av brukernes personvern.

CAPTCHA bidrar til å stoppe bots og gjøre oss tryggere, men hindrer ikke overvåkning og informasjonsinnhenting fra tredjeparter. For å beskytte seg mot dette bør man bruke en VPN, spesielt på offentlige nettverk. En VPN skjuler IP-adressen din og krypterer all aktivitet mellom enheten din og nettverket.

Å implementere CAPTCHA på en nettside har flere fordeler. For det første bidrar det til økt sikkerhet ved å holde skadelige bots unna, noe som beskytter mot cyberangrep og spredning av skadevare. CAPTCHA bidrar også til å bevare nøyaktigheten av data ved å hindre at bots og spam gir forstyrrelser, som for eksempel ved nettbaserte undersøkelser som er avhengige av korrekte resultater.

Andre fordeler er bedre sikkerhet ved netthandel, forhindring av falske registreringer på nettsider, beskyttelse mot e-post-svindlere og forebygging mot søppelpost.

Du har kanskje sett begrepet reCAPTCHA i stedet for CAPTCHA. Årsaken til de ulike betegnelsene er at det finnes flere leverandører av slike tjenester. ReCAPTCHA er utviklet av Google og er en gratis og svært utbredt CAPTCHA som alle kan implementere.

Ulike reCAPTCHA-versjoner

Google utviklet denne for å stoppe avanserte maskiner som klarer å knekke de vanlige CAPTCHA-testene. Den første versjonen av reCAPTCHA bruker tekst og bilder fra den virkelige verden, som for eksempel gatebilder og tekst som Google selv har skannet. Den nyeste versjonen bruker en mer sofistikert metode, med teknologi som sjekker brukeren uten at brukeren selv må gjøre noe. Dette gjør livet lettere for brukere, da du kun trenger å huke av boksen hvor det står “Jeg er ikke en robot”,og testen er ferdig. Tjenesten holder deretter øye med deg og følger med på atferden din. Hvis den fanger opp mistenkelig aktivitet eller ikke klarer å bestemme seg for om du er et menneske eller en robot, vil du få presentert en vanlig CAPTCHA-test.

Ulike typer CAPTCHA-tester har blitt utviklet etter at testen først ble oppfunnet. I dag finnes det mange forskjellige typer CAPTCHA.

Her er noen av CAPTCHA-testene som blir brukt i dag:

Tekstbasert CAPTCHA

Tekstbasert CAPTCHA er den enkleste formen for CAPTCHA. Denne kommer i form en rekke med bokstaver og tall. Disse kan vises på forskjellige måter:

• Gimpy-tekst. Denne velger et tilfeldig antall ord fra en ordbok på 850 ord. Deretter vises ordene i forvrengt form.
• EZ-Gimpy. Her forvrenges kun ett ord.
• Gimpy-r. Denne velger tilfeldige bokstaver, forvrenger dem og legger til bakgrunnslyd.
• Simard’s HIP. Denne velger bokstaver og tall helt tilfeldig, og forvrenger dem med buer og farger.

Bilde-CAPTCHA

CAPTCHA-er med bilde ble utviklet for å erstatte tekst-CAPTCHA-er etterhvert som maskiner ble bedre til å knekke koder. Her må brukeren identifisere en spesifikk gjenstand fra et sett med bilder. Dette kan for eksempel være trafikklys eller kjøretøy. Brukeren må deretter krysse av alle bildene som inneholder den spesifikke gjenstanden for å bestå testen. Denne typen CAPTCHA har bedre sikkerhet, men gjør det samtidig vanskelig for de med nedsatt syn.

Lyd-CAPTCHA

CAPTCHA-er med lyd ble utviklet for de som har nedsatt syn. Brukeren får spilt av et lydopptak med bokstaver og tall. Brukeren må lytte og taste inn riktig rekkefølge på tallene og/eller bokstavene. Denne typen CAPTCHA er vanligvis utfordrende både for mennesker og for roboter, i tillegg til at den er nærmest umulig å klare for mennesker med nedsatt hørsel.

CAPTCHA med ord eller matematiske utregninger

Ord-CAPTCHA-er krever litt leseforståelse siden brukere må enten fylle inn manglende ord eller fullføre ordsekvenser.

Noen såkalte matematikk-CAPTCHA-er krever at brukere løser et mattestykke. Disse er vanligvis ganske lette, men genereres som regel tilfeldig, noe som gjør dem vanskelige for roboter. Noen ganger er også tallene forvrengt slik at det skal bli enda vanskeligere for roboter å forstå.

NO CAPTCHA reCAPTCHA

Google har laget en avansert CAPTCHA kalt NO CAPTCHA reCAPTCHA, som forbedrer brukeropplevelsen. Den analyserer risiko helt uten at den merkes, ved å registrere brukeres interaksjoner med tjenesten før, mens og etter at CAPTCHA-en vises. På grunn av dette er ikke selve testen nødvendig. Brukere kommer seg gjennom NO CAPTCHA reCAPTCHA med ett klikk, siden teknologien allerede har konstatert ut at vedkommende ikke er en robot.

Det finnes også ulemper med CAPTCHA. Teknologiske fremskritt er alltid en utfordring, fordi roboter stadig blir bedre på CAPTCHA-tester. Kunstig intelligens har også gjort roboter mye smartere på kort tid, slik at CAPTCHA-teknologi stadig må utvikles og oppgraderes.

CAPTCHA kan også forstyrre brukeropplevelsen og oppleves som irriterende. Det er heller ikke mulig for alle mennesker å gjennomføre dem, som for eksempel de med lese- og skrivevansker, synshemning og nedsatt hørsel.

Kan man unngå CAPTCHA-er?

Det finnes utvidelser i nettlesere som deaktiverer CAPTCHA-er, men disse anbefales ikke da de har svak sikkerhet og kan gjøre deg sårbar for skadevare eller hacking.

For å få færre CAPTCHA-er kan du tømme hurtigbufferen (cache) og slette informasjonskapsler og nettleserhistorikk. Den eneste langsiktige løsningen er å bruke en statisk IP-adresse via en VPN-tjeneste. En statisk IP er personlig, så ingen andre kan bruke den.

Det finnes flere tjenester som prøver å oppnå det samme som CAPTCHA, nemlig å redusere spam, stoppe roboter og gjøre nettsider sikrere. Disse sikkerhetsprogrammene må implementeres av nettstedene selv, og du som bruker kan ikke velge hvilken løsning som skal brukes. Det finnes imidlertid ting du kan gjøre for å øke sikkerheten din på nettet, som for eksempel å bruke VPN og antivirusprogram, og lære deg om nettvett og nettsikkerhet.

CAPTCHA kan virke forstyrrende, men de er viktige for nettsikkerhet. Det er likevel en etterspørsel etter mer brukervennlige løsninger, da CAPTCHA-er kan være tidkrevende for mange, til og med umulige å løse for noen.

På norske nettsider er det svært vanlig å se CAPTCHA-er. Norske bedrifter, banker og statlige nettsider bryr seg generelt sett mye om god sikkerhet. Det tas i bruk en rekke ulike verifiseringsmidler, inkludert CAPTCHA, BankID, tofaktorautentisering og biometri. Husk at alle disse tingene er bra for deg som bruker, da de øker sikkerheten din når du samhandler med disse nettsidene. Det er imidlertid også viktig å ikke ta sikkerheten for gitt selv om alt dette er på plass. Ta også egne forholdsregler for å oppnå maksimal sikkerhet på internett.