Vad är CAPTCHA och hur fungerar det?

En traditionell CAPTCHA går ut på att användaren identifierar bokstäver i en bild där bokstäverna på något sätt gjorts otydliga, till exempel genom förvrängning eller att de placeras bakom komplicerade mönster. Syftet är att hindra automatiska program – som är betydligt sämre än människor när det kommer till mönsterigenkänning – från att ta sig in på hemsidan.

För att klara testet måste användaren tolka den förvrängda eller gömda texten, mata in bokstäverna korrekt i det angivna formuläret och skicka det. Om de inmatade bokstäverna inte matchar uppmanas användaren att försöka igen. Eftersom det inte alltid är en garanti att användaren själv är kapabel att tolka gåtan, kommer CAPTCHA:s ofta med diverse hjälpverktyg, till exempel uppläsning eller förmåga att generera en ny gåta ett oändligt antal gånger. Högläsning är till exempel ett måste för att många synskadade ska kunna komma åt sidan.

Det underliggande konceptet här är att automatiserade datorprogram har svårt att tyda förvrängda bokstäver, medan människor som har en betydligt bättre förmåga att känna igen mönster är vana vid och kapabla till att tolka bokstäver i en rad olika sammanhang. Resultatet av detta är att de automatiska programmen eller robotarna nekas åtkomst till sidan, medan människor kan fortsätta använda den utan problem.

Om detta nu fungerar som det ska, hur kommer det sig då att det utvecklats nya och mer avancerade metoder? Tyvärr har effektiviteten av traditionella CAPTCHA:s minskat i takt med att maskininlärning blivit bättre. Genom att träna en robot med en rad olika bilder som innehåller texter som liknar de den kommer att stöta på, kan man lära den att känna igen mönster. Detta har lett till att man utvecklat mer avancerade metoder som till exempel reCAPTCHA – men mer om detta senare.

Även om CAPTCHA i allmänhet är effektivt, finns det fortfarande viss sårbarhet. Deras främsta syfte är att avskräcka robotar, det vill säga automatiserade program. Eftersom det finns många skadliga sådana är det viktigt att systemen fungerar effektivt. En CAPTCHA kan till exempel hjälpa hemsidor undvika spam, webbskrapning och hacking. Du kan läsa mer om hacking här: Vad är en hacker?

Moderna varianter av CAPTCHA använder metoder som övervakar användarens surfbeteende för att avgöra om de är robotar och är således mer effektiva. Självklart är detta en sämre metod för personlig integritet, men det är ett avvägande man ofta måste göra i it-sammanhang.

CAPTCHA och VPN

Någonting som är viktigt att notera är att även om CAPTCHA används för att motverka robotar och förbättra säkerheten på nätet, så förhindrar det inte att tredje part spårar och samlar in data om användares beteenden. Det bästa du kan göra för att hantera denna problematik är att använda ett VPN. Detta är speciellt viktigt om du surfar på ett offentligt nätverk. VPN-tjänsten skyddar din identitet och döljer aktiviteten på nätet. Moderna VPN-tjänster kan dessutom installeras på vilken enhet som helst.

Om du använder ett VPN kommer reCAPTCHA-systemen som används av Google med största sannolikhet tro att du är en robot. Detta beror på att flera användare av samma VPN delar IP-adress när de är uppkopplade till samma server. För att undvika CAPTCHA:s när du använder NordVPN, testa att byta till en server som inte har så hög trafik. Sannolikheten att CAPTCHA:n ska flagga dig som robot är då betydligt lägre.

När CAPTCHA var ett nytt koncept på nätet fanns det bara i form av den traditionella textgåtan. Över tid har dock nya metoder utvecklats. Nedan går vi igenom några av de vanligaste kategorierna.

Text

Den första CAPTCHA-metoden var som sagt textbaserad. En CAPTCHA som förlitar sig på att komplicera text består oftast av slumpvalda bokstäver och siffror, men kan också utgöras av enklare ord eller fraser som på något sätt förvrängts. Tecken kan till exempel vara roterade, överlappa varandra eller vara täckta av andra visuella element som streck och prickar.

Bild

Nästa steg i utvecklingen var bildbaserade CAPTCHA-system. Istället för att använda text använder man bilder av igenkännbara former, scener eller objekt. En vanlig metod som förlitar sig på människans förmåga att kunna generalisera abstrakt är att presentera en uppsättning bilder som motsvarar ett visst tema och sedan be besökaren peka ut vilka bilder som inte hör hemma. Om du till exempel har 5 bilder på bilar och sedan en bild på en motorcykel är det enkelt för en människa att känna igen vad som inte passar in och svårare för en dator. Anledningen till att det är svårare för en dator är att detta kräver både bildigenkänning och förmåga att sammanhängande kunna kategorisera visuella element i många olika sorters situationer.

Ljud

Ljudbaserade CAPTCHA:s skapades för att erbjuda ett alternativ till textbaserade åt användare med synnedsättning. Det är alltså oftast inte en direkt ersättning av bildbaserade CAPTCHA:s, utan ett komplement. Användaren får en ljudinspelning där innehållet i CAPTCHA:n läses upp. För att göra det svårt för en dator inkluderar man också bakgrundsljud – samma princip som i bildform alltså.

Matte och logiska gåtor

Vissa CAPTCHA-system ger användare enkla matematiska ekvationer eller logiska dilemman att lösa. Vid utveckling av dessa måste man såklart ha i åtanke att inte alla är lika kompetenta, så oftast är problemen mycket enkla. Att lösa matteproblem är oftast inte speciellt svårt för en dator, så det är vanligt att man skapar ordproblem som också kräver flexibelt tänkande för att lösa. Det kan till exempel vara så att man ombeds fylla i ett saknat ord i en mening eller koppla samman relaterade termer.

No CAPTCHA reCAPTCHA

Om du är inne på nätet någorlunda ofta har du säkerligen träffat på CAPTCHA:s som inte kräver att du löser en gåta utan helt enkelt ger dig en ruta att kryssa i som säger “Jag är inte en robot”. Detta är en speciellt metod utvecklad av Google för att göra verifieringsprocessen smidigare. Metoden fungerar genom att man övervakar användarens beteende på sidan och avgör om det är mänskligt eller inte. Man mäter till exempel musrörelser och klick. Om testet inte godkänns måste man lösa ett logiskt problem. Dessa varierar något från gåtorna man stöter på i traditionella CAPTCHA:s, men principen är densamma.

År 2009 köpte Google reCAPTCHA-teknologin – en ny CAPTCHA-metod utvecklad av forskare vid Carnegie Mellon. Även om CAPTCHA och reCAPTCHA båda är bra metoder för att skilja på användare och robotar så är reCAPTCHA snäppet vassare. reCAPTCHA använder nämligen text och bilder som kommer från verkligheten. Källorna som bilderna kan komma från är alltså teoretiskt sett oändliga. De kan komma från städer, böcker eller tidningar och är således svåra att knäcka även för robotar som använder maskininlärning.

Det är inte bara vanliga CAPTCHA-tester som har olika metoder för att ta reda på om besökaren är en människa eller robot. Även reCAPTCHA:s finns i olika former.

Bildigenkänning

Användaren får ett rutnät av bilder som antingen är delar av en större sammanhängande bild, eller är orelaterade. Användarna får sedan i uppgift att identifiera bilder baserat på deras innehåll. Om användarens val överensstämmer med de val som gjorts av majoriteten av användare godkänns det.

Att identifiera särskilda objekt i suddiga eller otydliga foton är ett utmanande problem för datorer. Även sofistikerade program som använder artificiell intelligens har svårigheter i detta avseende. För människor är dock uppgiften relativt okomplicerad, eftersom vi är betydligt bättre på att känna igen objekt oavsett sammanhang.

Kryssruta

Dessa test är även kända som No CAPTCHA reCAPTCHA och fungerar helt enkelt genom att användaren kryssar i en ruta där det står “Jag är inte en robot”. Själva testet består dock av mycket mer och mäter bland annat användarens beteende på sidan, cookies och historik. Genom att kombinera dessa element kan man för det mesta särskilja på människor och robotar. Även om en robot kan programmeras att utföra mikrorörelser med muspekaren precis som en människa, är det ett påtagligt hinder.

Om det råder någon sorts osäkerhet om huruvida användaren är en människa, leder ikryssning av rutan till ett mer traditionellt CAPTCHA-test. Oftast är det någon form av bildigenkänning. I större delen av fallen är det dock tillräckligt att kontrollera användarens beteende, cookies och historik.

Även om CAPTCHA-tester är ett bra sätt att se till så att enbart mänskliga användare har tillgång till en hemsida, finns det några väsentliga nackdelar. En CAPTCHA kan potentiellt störa användarupplevelsen. Det är ett störningsmoment som gör det både långsammare och mer irriterande att surfa på nätet. Testerna kan ibland vara lite roliga att utföra, men om man ständigt behöver göra samma sak om och om igen blir det snabbt tråkigt. Det är samma avvägning som måste göras när man använder tvåfaktorsautentisering. Visst gör det saker och ting betydligt säkrare, men det innebär också att varje inloggning tar lite extra tid.

Numera finns det också användartillägg som gör det enkelt att undvika CAPTCHA:s. Artificiell intelligens har blivit så pass bra att CAPTCHA:s numera måste vara väldigt avancerade för att fungera. I framtiden kommer man onekligen behöva använda ännu mer komplicerade knep som antingen är svåra att lösa eller inskränker på användarnas integritet och rättigheter. Googles nya reCAPTCHA metod är redan ett exempel på en teknik som inte har tillräcklig respekt för användarens integritet.

CAPTCHA-tester är en effektiv metod för att hindra att robotar som orsakar spam och utför webbskrapning ska kunna härja obehindrat. Du kan läsa mer om cyberattacker här: Vad är en cyberattack?

I takt med att maskininlärning blir allt bättre, kommer dock metoderna som används behöva bli mer komplexa. Det är svårt att säga exakt hur framtiden ser ut för CAPTCHA:s, men med största sannolikhet kommer de fortsätta användas en bra tid framöver.