Cos'è il CAPTCHA? Come fa a sapere che non sei un robot?
Perché i siti web utilizzano CAPTCHA? Da dove viene questa protezione? E perché è un evento così comune?
Qualsiasi sito web può essere bersaglio di attacchi informatici, abusi digitali e bot che raccolgono informazioni personali dei visitatori per scopi dannosi. Il CAPTCHA è stato progettato per proteggere da tali abusi e attacchi bot.
Anche in redazione, al momento della registrazione, il computer verifica se siamo un robot o un essere umano. A volte dobbiamo solo spuntare la casella, altre volte dobbiamo trovare tutte le foto sullo schermo con un idrante o qualcosa di simile. Perché questa differenza, lo scoprirai di seguito.
Cos'è comunque un CAPTCHA?
CAPTCHA è l'acronimo di "Test di Turing pubblico completamente automatizzato per distinguere i computer e gli esseri umani". In poche parole, si tratta di un test casuale con una sfida e una soluzione specifica che i siti Web utilizzano per difendersi dagli attacchi. 40 % di tutto il traffico globale online viene effettuato da "bot", quindi puoi facilmente immaginare il danno che possono causare. Se li riconosci fin dall’inizio e lasci che solo le persone accedano al sito web, puoi risparmiarti molti problemi.
Come si è evoluta la tecnologia CAPTCHA?
I primi test CAPTCHA sono apparsi verso la fine degli anni '90 e consistevano in immagini distorte con una combinazione di lettere e numeri. La tecnologia è stata sviluppata da diversi gruppi con l'obiettivo di facilitare la lotta a bot e hacker. Ricordi il motore di ricerca di AltaVista? I loro sviluppatori volevano impedire ai bot di aggiungere indirizzi web dannosi al database.
Il termine CAPTCHA stesso è stato utilizzato per la prima volta nel 2003 da un gruppo di ricercatori informatici della Carnegie Mellon University. L'impulso allo sviluppo è stato dato dal discorso del direttore dell'allora colosso Yahoo, che ha parlato dei problemi con gli spider che creavano milioni di indirizzi e-mail falsi.
Un gruppo di ricercatori ha creato un programma per computer che prima generava un testo casuale, poi generava un'immagine distorta di quel testo (chiamata CAPTCHA) e infine chiedeva all'utente di risolverlo e di cliccare sul pulsante "Non sono un robot". scatola. All'epoca, la tecnologia di riconoscimento ottico dei caratteri (OCR) non riusciva a decifrare questo semplice puzzle, quindi i robot non superarono il test CAPTCHA come scommessa. Subito dopo, Yahoo ha richiesto ai suoi utenti di superare un test CAPTCHA prima di accedere a un indirizzo email. La diminuzione del numero di bot ha spinto anche altre aziende a implementare la protezione CAPTCHA.
Inevitabilmente, però, gli hacker hanno sviluppato algoritmi in grado di aggirare in modo affidabile la nuova protezione. Questa battaglia continua ancora oggi.
reCAPTCHA v1: un aggiornamento che non è riuscito a fermare i bot
Nel 2007 Luis von Ahn, membro del team originale che sviluppò il sistema CAPTCHA, introdusse reCAPTCHA v1, con il quale voleva rendere il lavoro più difficile per gli hacker e migliorare la precisione del riconoscimento ottico dei caratteri utilizzato per digitalizzare i testi stampati. Gli hacker si sono imbattuti in immagini ancora più distorte e presto anche le parole sono state cancellate.
Ha migliorato l'OCR sostituendo un'immagine di testo confuso generato casualmente con due immagini confuse di parole scansionate da testi reali da due diversi programmi OCR. La prima parola, o parola di controllo, era una parola riconosciuta correttamente da entrambi i programmi OCR; la seconda parola era una parola non riconosciuta dal programma OCR. Se l'utente identificava correttamente la parola di controllo, il programma reCAPTCHA presupponeva che l'utente fosse umano.
Due anni dopo, Google è intervenuta, acquistando la nuova tecnologia e utilizzandola per digitalizzare testi per Google Libri e concedendola in licenza ad altre società. Allo stesso tempo, lo sviluppo della tecnologia OCR è stato acqua al mulino per gli hacker, che l’hanno utilizzata diligentemente per sviluppare algoritmi avanzati che hanno iniziato a risolvere con successo le nuove sfide reCAPTCHA. Nel 2012 sono emerse sfide relative alle immagini reCAPTCHA che potrebbero ingannare l'OCR pur essendo più ottimizzate per i dispositivi mobili.
reCAPTCHA v2: migliore ma invasivo per gli utenti
La seconda versione (reCAPTCHA v2 o no CAPTCHA reCAPTCHA) ha eliminato completamente le sfide relative a testo e immagini. Invece, ha iniziato a essere utilizzata una semplice casella di controllo "Non sono un robot" e, dietro le quinte, reCAPTCHA v2 analizza le interazioni dell'utente con le pagine Web, la velocità con cui l'utente digita e analizza anche i cookie, la cronologia del dispositivo e l'indirizzo IP. . Tiene traccia anche dei movimenti del mouse. Agli utenti che ritengono il sistema sospetto viene presentata una sfida CAPTCHA, mentre gli altri possono continuare a navigare.
Questa protezione più recente presenta diversi inconvenienti. Poiché fa molto affidamento sui cookie, è più amichevole per gli utenti del browser Chrome e per coloro che hanno effettuato l'accesso con un account Google. Ad esempio: gli utenti di Firefox (o Brave, Opera...) che hanno disattivato i cookie di terze parti hanno maggiori probabilità di essere contestati dal CAPTCHA.
Tuttavia, con il progresso dell’intelligenza artificiale, i robot possono risolvere anche le sfide reCAPTCHA più avanzate. Le persone malintenzionate possono anche aiutarsi con queste farm CAPTCHA, che sono un servizio automatizzato in cui gli sviluppatori di bot utilizzano manodopera umana a basso costo per risolvere le sfide CAPTCHA.
Era più che evidente che la protezione esistente non era sufficiente.
reCAPTCHA v3 – dipendenza ancora maggiore dall’intelligenza artificiale
Il terzo aggiornamento rimuove completamente la casella di controllo "Non sono un robot" e si affida ancora di più all'intelligenza artificiale e alla sua capacità di analizzare i fattori di allarme. reCAPTCHA v3 si integra con il sito Web tramite un'API JavaScript e viene eseguito in background. Valuta gli utenti su una scala da 0 (bot) a 1 (umano) in base alle loro azioni online. I proprietari o gli amministratori del sito web possono impostare azioni automatiche che vengono attivate nel caso in cui reCAPTCHA riconosca un potenziale bot. Ad esempio, può richiedere l'autenticazione a più fattori prima di accedere a un profilo, un commento su un forum deve essere prima approvato da un moderatore e così via.
Il metodo è più amichevole per gli utenti che non sanno nemmeno che questo tipo di protezione viene implementato in background. Tuttavia, qui la questione della privacy è sempre presente e allo stesso tempo, con la nuova generazione, hanno più lavoro da fare gli amministratori web che devono decidere dove si trova la soglia per una determinata risposta.
A cosa serve il CAPTCHA?
- Prevenire le registrazioni fraudolente che i bot sfruttano il sistema per inviare spam, codice dannoso e altre attività informatiche.
- Il CAPTCHA viene utilizzato in alcuni luoghi per proteggersi da transazioni sospette. Anni fa abbiamo avuto una crisi dei chip, di cui i bot hanno approfittato, ad esempio, per acquistare maggiori scorte di schede grafiche, che hanno poi rivenduto a prezzi più alti.
- Sondaggi online, seggi elettorali, sondaggi d’opinione sono spesso bersaglio di bot che vogliono distorcere i risultati.
- I truffatori e i criminali informatici utilizzano spesso commenti e recensioni di prodotti per diffondere truffe e malware o per aumentare artificialmente il posizionamento di un determinato prodotto in un negozio online (Amazon, eBay...).
Gli esempi di utilizzo sono molteplici, ma hanno in comune la lotta contro i bot, che vengono utilizzati dai malintenzionati perché vogliono trarre vantaggio a scapito dei visitatori online. Il CAPTCHA non è una protezione a prova di bomba, ma è senza dubbio importante per l'integrità del web e dei suoi visitatori.