Prawdopodobnie każda osoba przeglądająca internet musiała choć raz udowadniać, że nie jest robotem. Po wybraniu zdjęć z samochodami lub sygnalizacją świetlną i zaznaczeniu „Nie jestem robotem”, użytkownicy zapewne zastanawiali się, czy było to w ogóle konieczne. Okazuje się, że w ten sposób przyczynili się do ochrony witryny lub aplikacji wydawcy przed złośliwymi botami. Jeśli więc chcesz zapewnić swojej stronie bezpieczeństwo i zastanawia Cię czym różnią się CAPTCHA i reCAPTCHA – ten artykuł będzie dla Ciebie świetną lekturą!
CAPTCHA i reCAPTCHA – krótka historia
CAPTCHA – Completely Automated Public Turing test to tell Computers and Humans Apart – to program komputerowy, stworzony w celu ustalenia, czy dany użytkownik jest prawdziwą osobą, czy botem.
Nazwa programu jest dość interesująca, gdyż zawiera określenie „test Turinga” – jest to sposób pozwalający ocenić, czy maszyna może wykazywać inteligentne zachowania na poziomie człowieka. Alan Mathison Turing (1912-1954), wynalazca testu, był angielskim matematykiem i kryptoanalitykiem, dobrze znanym ze swojej pracy nad rozszyfrowaniem komunikatów Enigmy podczas II wojny światowej, a także stawiania pytań w stylu „czy maszyny są zdolne do myślenia?” już w 1950 roku! Jego pomysł okazał się niezwykle pomocny dla wynalazców programu CAPTCHA ponad 40 lat później (w 1997 roku). Pierwsza wersja przedstawiała słowa zmodyfikowane poprzez zniekształcenie liter i subtelne szumy tła. Aby pomyślnie ukończyć test, użytkownicy musieli dokładnie odszyfrować i wprowadzić wyświetlone słowo.
W 2007 roku nastąpił kolejny przełom – Luis von Ahn z Carnegie Mellon University (Pensylwania, USA) wynalazł reCAPTCHA. Nowe narzędzie nie tylko powstrzymywało boty przed wejściem na stronę, ale także pomagało w procesie cyfryzacji książek, czasopism, dzienników i gazet. Zamiast wymyślonych, zniekształconych słów, użytkownikom prezentowane były fragmenty prawdziwego, zarchiwizowanego tekstu. W 2009 roku, dwa lata po powstaniu, reCAPTCHA zostało zakupione przez Google. Jest to obecnie najpopularniejsze rozwiązanie antyspamowe w internecie i co ważne – w większości przypadków bezpłatne.
Rodzaje reCAPTCHA
Aby wybrać rozwiązanie najbardziej dopasowane do Twoich preferencji, warto zapoznać się ze wszystkimi dostępnymi opcjami:
- reCAPTCHA v1 – była to pierwsza wersja systemu CAPTCHA chroniącego przed botami. Dziś korzystanie z niego nie jest już możliwe, ponieważ został wycofany z użytku w marcu 2018 roku;
- reCAPTCHA v2 – istnieją różne rodzaje zadań, które musi wykonać użytkownik podczas procesu weryfikacji. Rodzaje drugiej wersji reCAPTCHA obejmują:
- Checkbox „Nie jestem robotem” – co ciekawe, Google nie analizuje tu zdolności użytkownika do zaznaczenia checkboxa (ponieważ oczywiście boty również potrafią to zrobić). Google śledzi m.in. ruch myszy (ludzki będzie bardziej chaotyczny, nasz kursor nie porusza się po idealnie prostych liniach, jak byłoby to w przypadku bota), czy nawet historię przeglądarki. Jeżeli wynik testu nie jest jednoznaczny, użytkownik proszony jest o wykonanie testu wizualnego, polegającego przykładowo na rozpoznaniu części pojazdów na obrazku podzielonym na kwadraty,
-
- Niewidoczny badge reCAPTCHA – nie jest tu wymagane wykonywanie żadnych zadań, system bowiem mierzy i sprawdza zachowania użytkownika w tle. Podobnie jak w przypadku checkboxa „Nie jestem robotem”, może on analizować ruch myszy, w tym przypadku nawet wówczas, gdy użytkownik klika przyciski niezwiązane z testem CAPTCHA (który można uruchomić również poprzez wywołanie JavaScript API),
- Rozwiązania na Android – weryfikacja odbywa się poprzez inicjowanie połączeń sieciowych pomiędzy aplikacją w systemie Android, serwerem SafetyNet oraz Twoim serwerem. Użytkownicy albo otrzymują natychmiastowy dostęp do treści, albo muszą potwierdzić, że są ludźmi (na przykład wykonując zadania wizualne, takie jak wybieranie konkretnych obiektów na zdjęciach);
- reCAPTCHA v3 – jest to zaawansowane rozwiązanie zapewniające bezpieczeństwo i weryfikujące człowieczeństwo, które nie wymaga bezpośredniej reakcji ze strony użytkownika. Zamiast tego, system wykorzystuje analizę ryzyka do zanalizowania działań odwiedzających, by przepuścić wyłącznie ludzi. W przypadku wykrycia działań możliwie związanych z botami system przydziela punkty, które można sprawdzić w konsoli administracyjnej systemu reCAPTCHA. Zachowanie użytkownika jest analizowane i oceniane w skali od 0.0 do 1.0 – im wyższy wynik, tym większe prawdopodobieństwo, że użytkownik jest człowiekiem. Tam też możesz zweryfikować nie tylko wyniki ewaluacji, ale także dowiedzieć się o konkretnych czynnościach, które boty próbowały wykonać;
- reCAPTCHA Enterprise to najnowsza dostępna wersja reCAPTCHA. Łączy w sobie zalety obu poprzednich opcji i oferuje większą elastyczność, umożliwiając klasyfikację konkretnych działań związanych z botami i oszustwami, jako pozytywne lub fałszywie negatywne. Oznacza to, że masz możliwość pomagania Google w dostosowywaniu się do błędnych ocen podczas testów przeprowadzanych w przyszłości. Rejestrując swoją stronę internetową, możesz wybrać pomiędzy dwoma rodzajami reCAPTCHA – reCAPTCHA v2 lub reCAPTCHA v3. Dostępne rozwiązania przeciw działaniom botów, z których możesz skorzystać, to:
- Checkbox „Nie jestem robotem”,
- Niewidoczny badge reCAPTCHA,
- Mechanizm reCAPTCHA v3 oparty na punktach.
- reCAPTCHA Enterprise Fraud Prevention (podtyp reCAPTCHA Enterprise) – to nowe rozwiązanie od Google, które ma na celu powstrzymanie prób oszustw podczas dokonywania płatności. Po wykryciu podejrzanego zachowania (takiego jak wiele prób transakcji po zaskakująco niskich cenach) otrzymujesz ocenę ryzyka i na tej podstawie możesz natychmiast zablokować transakcję lub przesłać ją do dalszej analizy.
Ile kosztuje reCAPTCHA?
Dla właścicieli witryn i aplikacji wszystkie dostępne wersje reCAPTCHA (v2, v3 i Enterprise) są bezpłatne w ramach limitu 1 miliona wywołań miesięcznie. Co ważne, gdy wydawcy korzystający z reCAPTCHA v2 i reCAPTCHA v3 przekroczą limit 1000 połączeń na sekundę lub 1 miliona miesięcznie, muszą przejść na wersję reCAPTCHA Enterprise lub zawnioskować do Google’a o zrobienie wyjątku za pośrednictwem odpowiedniego formularza. Koszt usługi dla użytkowników reCAPTCHA Enterprise przekraczających 1 milion, ale pozostających poniżej 10 milionów to równowartość 1$ za 1000 wywołań. Jeśli jednak Twoja witryna lub aplikacja generują jeszcze wyższe ilości testów, należy skontaktować się z działem sprzedaży Cloud, w celu ustalenia warunków indywidualnej umowy.
Alternatywy do systemu reCAPTCHA
Oczywiście, produkt od Google’a nie jest jedyną opcją dla osób poszukujących systemów chroniących przed botami. Na rynku dostępnych jest kilka alternatyw – dwie z najczęściej wybieranych, to:
- Cloudflare Turnstile – twórcy tego produktu chwalą go między innymi za dbałość o bezpieczeństwo danych. Jego głównym celem jest zatrzymanie botów bez użycia systemów CAPTCHA. Unika on przeprowadzania testów, zamiast tego analizuje zachowanie użytkownika lub sprawdza niewielkie ilości danych. Podstawowa wersja tego rozwiązania jest bezpłatna. Z kolei wersja premium oferuje na przykład bardziej zaawansowane metody ochrony przed botami lub bezstratną optymalizację obrazów;
- hCAPTCHA – jest to przystępne, zgodne z wymogami WCAG 2.1 (Web Content Accessibility Guidelines) rozwiązanie typu CAPTCHA. Jest ono szybkie we wdrożeniu, ponieważ składa się z zaledwie dwóch linijek kodu. Ponadto program ten jest bezpłatny do miliona żądań miesięcznie i możliwe jest korzystanie z niego w każdym kraju. Jest to popularny sposób wykrywania oszustw stosowany przez niektóre z najlepszych firm przetwarzających płatności online.
Pomimo skuteczności alternatywnych opcji, reCAPTCHA nadal pozostaje najpopularniejszym rozwiązaniem, po które sięga najwięcej twórców treści. Ludzie decydują się na nie ze względu na chęć korzystania z zaufanego produktu na bieżąco uaktualnianego przez znanego giganta technologicznego. Innymi powodami są udogodnienia dla osób z niepełnosprawnościami oraz wsparcie oferowane w wielu językach.
Jeśli chcesz poznać więcej wskazówek i spostrzeżeń ze świata twórców treści internetowych, a także dowiedzieć się o najlepszych strategiach monetyzacyjnych zarówno dla stron internetowych, jak i aplikacji mobilnych – zapraszamy do śledzenia naszego profilu LinkedIn. Dzięki temu będziesz na bieżąco z naszymi artykułami, nowościami w branży i nadchodzącymi zmianami, na które warto się przygotować. Do zobaczenia!