+7 (800) 333-17-63

Что такое капча

Капча — это инструмент, который позволяет отличить реальных пользователей на сайте от роботов и автоматизированных скриптов. Он работает по принципу тестирования различными способами: от выбора картинок до решения простых математических задач.

 

Что означает слово CAPTCHA

Аббревиатура CAPTCHA — это Completely Automated Public Turing Test To Tell Computers and Humans Apart, что переводится как «полностью автоматический тест Тьюринга для отделения компьютеров от людей». В разговорной речи чаще всего используют сокращеный термин «капча», чтобы упростить длинное название.

Капчу используют для определения, является ли пользователь человеком или автоматической программой (ботом). Пользователь может столкнуться со страницей с названием «Ой, капча!», где происходит проверка на роботность. Такая проверка обычно включает задания, которые легко выполняются людьми, но сложны для машин, такие как распознавание и ввод искаженных символов, выбор изображений, соответствующих определенным критериям, или решение простых задач.

 

Кто придумал капчу

В 1990-х годах в эпоху бурного развития интернет-технологий возникла потребность в защите от новых видов киберугроз — спама, ботов и мошенников. Ученые и исследователи стали искать решения и задумались о том, чтобы адаптировать тест Тьюринга для решения проблемы возросшей нагрузки на системы. Одним из первых, кто выдвинул эту идею, был аспирант из университета Меллона-Карнеги — Луис Фон Ан. Он придумал метод проверки посетителей веб-ресурсов, который помогал выявить вредоносных ботов, а легитимных пользователей пропустить.

Английский математик XX века Алан Тьюринг предложил экспериментальный тест, который определял, способна ли мыслить машина. Его исследования были опубликованы в научном журнале «Mind» по аналитической философии. В своей статье Алан Тьюринг описал концепцию тестирования машины, которая легла в основу публичного сервиса CAPTCHA. Во время Второй мировой войны ученый возглавлял группу по криптоанализу, цель которой заключалась в разработке машины и методов взлома для дешифровки немецкого шифратора «Enigma». Научные труды Алана Тьюринга внесли огромный вклад в информатику и теорию искусственного интеллекта. Читайте о истории создания и применения теста Тьюринга в нашем блоге. 

 

Где и зачем используют капчу

Капчу необходима в целях безопасности, чтобы защитить веб-ресурсы от нежелательного наплыва вредоносных роботов. Киберпреступники массово программируют ботов для сканирования интернета в поисках уязвимостей на различных сайтах, доступа к базам данных и их кражи.

Основные причины использования капчи:  

  1. Борьба со спамом — предотвращение автоматического размещения спам-сообщений, рекламы, а также для защиты от массовой нагрузки ботов на страницы сайта.
  2. Защита от ботов — предотвращение парсинга — сбора данных (например, адресов электронной почты).
  3. Предотвращение фальсификации и мошенничества в интернет-голосованиях и опросах.

В зависимости от цели использования капчи отличается и ее расположение, к примеру: 

  1. При создании новых аккаунтов на сайтах, чтобы предотвратить массовую регистрацию ботов.
  2. При авторизации аккаунта, чтобы подтвердить, что вход осуществляет легитимный пользователь.
  3. При оформлении заказов или участии в акциях, чтобы избежать мошенничества.
  4. При прохождении опросов, чтобы гарантировать, что отвечает реальный человек.
  5.  На форумах, в блогах и интернет-магазинах, чтобы предотвратить спам.

Не все боты наносят вред веб-ресурсам. Есть полезные роботы, например, поисковых систем — Google, Яндекса, Bing и других. Они исследуют страницы сайта с определенной периодичностью для включения (или исключения) в поисковую выдачу. Это происходит абсолютно незаметно для пользователей и владельцев сайта.

Пример графика из личного кабинета DDoS-Guard
Система защиты DDoS-Guard умеет отличать полезных и вредоносных ботов от реальных пользователей — график из личного кабинета DDoS-Guard.

 

Что лежит в основе капчи

В основе любой капчи лежит простейший алгоритм, который предлагает различные задания посетителям сайта, а потом считывает и анализирует полученный ответ. Задачи могут быть самыми разными, и придумывать их может как человек, так и машина.
 

Как работает капча? Когда пользователь посещает сайт и выполняет действие, требующее проверки (например, регистрация или отправка формы), ему показывается капча. Пользователь выполняет это задание и пишет ответ. Алгоритмы его анализируют и выдают результат. Если пользователь был идентифицирован как человек, то он без преград продолжает взаимодействие с сайтом, а в случае подозрительных действий капча снова предложит пройти задание.


Компьютерная программа по типу бота не сможет воспринимать искаженный текст или различать детали на картинках, в отличие от человека. Конечно, существуют продвинутые боты, которые могут использовать машинное обучение для прохождения таких видов тестов. Для них разрабатывают более сложные алгоритмы определения роботов. Например, reCAPTCHA от Google или капча DDos-Guard, которая была создана специально для защиты веб-ресурсов наших клиентов.

Важно: защитить сайт от действий злоумышленников с помощью капчи невозможно. Она не сможет самостоятельно противостоять DDoS или кибератаке. Атакующие постоянно совершенствуют методы атак и без труда обойдут тест CAPTCHA. 

Чтобы обезопасить весь периметр веб-ресурса рекомендуется использовать профессиональные решения, которые предоставляют провайдеры защиты. Сервис DDoS-Guard использует капчу как один из инструментов финальной валидации пользователя, поведение которого считывается защитными алгоритмами как подозрительное.

Читайте также: CAPTCHA как финальный бастион: почему она используется с защитой от DDoS-атак

 

Кому показывается капча и почему

Капча может показываться в разных случаях в зависимости от метода ее применения на сайте, например:

1. По умолчанию. Капча устанавливается на определенные формы, такие как регистрация, обратная связь, онлайн-опросы. В таком случае она будет показываться всем пользователям, которые взаимодействуют с этими формами.

2. По результатам анализа поведения. Капча показывается только тем пользователям, которые выполняют подозрительные действия для алгоритмов капчи. Например, частые клики и переходы по страницам сайта или использование VPN-сервисов. 
Правила проверки могут устанавливать администраторы веб-ресурса который вы посещаете.

 

Виды капчи

Существуют следующие виды капчи, используемые в Интернете:

  • текстовая CAPTCHA;
  • CAPTCHA на основе изображений;
  • математическая CAPTCHA;
  • невидимая CAPTCHA;
  • аудио-CAPTCHA;
  • креативная CAPTCHA;

 

Примеры заданий капчи

1. Распознавание текста

Пользователь видит искаженные буквы и цифры, которые нужно ввести в специальное поле. Такие задания трудны для ботов, потому что искажения и шумы сложно распознать автоматически.

Пример вида капчи на распознавание текста от Яндекса

Плюсы: простая в реализации. Легко распознаваема для большинства людей.

Минусы: может быть трудноразличимой для людей с нарушениями зрения. Появились сервисы и боты, которые умеют распознавать искаженный текст.

 

2. Распознавание изображений 

Пользователю показываются несколько изображений, и он должен выбрать те, которые соответствуют определенному критерию (например, «выберите все изображения с пожарными гидрантами»). Боты провалят задание, потому что задание требует понимания содержания картинки.

Пример вида капчи на распознавание изображений

Плюсы: высокая сложность для ботов. Визуально понятная для пользователей.

Минусы: могут возникнуть проблемы у людей с нарушениями зрения. Больше времени для выполнения задания.

 

Изначально CAPTCHA работала с отображением искаженных символов, которые нужно было распознать и вводить пользователю. Эта технология появилась в начале 2000-х годов, но спустя время появилась новая версия — reCAPTCHA. Ее разработал уже известный читателю Луис фон Ан. 

Основной идеей было использование сил людей для оцифровки книг и текстов, которые сложно распознать программам оптического распознавания символов (OCR). Пользователи, которые вводят текст с reCAPTCHA совершают полезные действия — сами того не зная (а может кто-то и в курсе), они помогают разобрать фрагменты реальных архивных текстов. Самые первые на распознавание были выбраны архивные номера газеты The New York Times. Затем компания Google купила сервис и добавила расшифровку старых книг. 

В 2014 году разработчики Google представили «No CAPTCHA reCAPTCHA» — новую версию reCAPTCHA. Она позволяла пользователям просто поставить галочку в чекбоксе «Я не робот». Алгоритмы незаметно для пользователя анализируют действия на сайте и показывают задание только тем, кто выглядит подозрительно. Спустя 4 года появилась еще более «умная» версия reCAPTCHA v3, которая работает в фоновом режиме.

 

3. Математические задачи

Пользователю предлагается решить простую математическую задачу (например, «3 + 5») и ввести верный ответ.

Пример вида математической капчи

Плюсы: простая для понимания и выполнения человеком.

Минусы: примитивные боты могут решить простые математические задачи. Не учитывает пользователей с когнитивными нарушениями.

 

4. Невидимая капча

Некоторые капчи работают в фоновом режиме, анализируя человеческое поведение (движение курсора мыши, скорость набора текста) и автоматически определяют ботов.

Плюсы: не мешает пользователям взаимодействовать с сайтом.

Минусы: могут возникнуть ошибки при неверном определении бота.

 

5. Аудио капча

Используется для людей с нарушениями зрения. Предоставляет аудиозапись с произносимыми буквами и цифрами, которые пользователь должен ввести.

Пример вида аудио капчи

Плюсы: создана для людей с нарушениями зрения.

Минусы: некоторые пользователи могут столкнуться с трудностью распознавания звуков.

 

6. Необычные и креативные капчи

Здесь все ограничивается только фантазией автора. Например, есть капча, созданная на основе популярного шутера 1993 года — Doom. Чтобы пройти эту капчу пользователю предстоит несколько раз выстрелить в импа.

Пример вида креативной капчи — на основе шутера Doom

Другая креативная капча — Squat Captcha — заставляет пользователя приседать, чтобы получить доступ к нужному ему действию на сайте. А именно — купить вредную еду на Amazon. Конечно, такие виды капч несут больше развлекательную функцию, нежели защитную, как более привычные с выбором картинок или вводом текста. 

Плюсы: весело.

Минусы: никогда не станет популярнее выбора гидрантов.

 

Что делать, если капча бесконечная

Рассмотрим несколько простых рекомендаций для пользователей, которые столкнулись с проблемой бесконечной капчи.

  1. Обновите браузер до последней версии.
  2. Отключите сервисы блокировки рекламы.
  3. Включите куки в настройках браузера.
  4. Попробуйте использовать другой браузер или устройство.
  5. Отключите VPN или прокси-сервер и попробуйте пройти капчу снова.
  6. Перезагрузите роутер для получения нового IP-адреса от провайдера.
  7. Очистите кэш и куки-файлы в настройках браузера.

Если ничего не помогает, свяжитесь с поддержкой сайта, на котором возникает проблема с капчей. Опишите свою ситуацию и предоставьте скриншоты.

 

Ошибки при вводе капчи

Нередко пользователи сталкиваются с различными ошибками при вводе капчи. Они могут быть связаны как с техническими проблемами, так и просто с неверным вводом символов. Далее рассмотрим примеры возможных ошибок.

1. Неправильный ввод символов
  • Некоторые капчи искажают буквы и цифры для усложнения задачи для ботов, что может затруднить их распознавание людьми.
  • Неправильное использование заглавных и строчных букв. Например, если капча чувствительна к регистру, ввод «a» вместо «A» приведет к ошибке.
  • Похожие символы, такие как «0» (ноль) и «O» (буква О), «1» (единица) и «I» (буква I), могут выглядеть одинаково и привести к ошибкам.
2. Технические проблемы
Нестабильное или медленное интернет-соединение может негативно повлиять на корректную загрузку капчи.
3. Браузерные проблемы
Капча может не работать, если в браузере отключены куки.
4. Поведение пользователя
  • Несколько неправильных попыток могут привести к усложнению заданий капчи.
  • Использование VPN, либо слишком быстрое или медленное выполнение капчи вызывает подозрение у алгоритмов сервиса и может привести к ошибкам.

Как правильно вводить капчу

Для того чтобы правильно вводить капчу и успешно пройти проверку, следуйте следующим рекомендациям:
Внимательно прочитайте задание, которое показывает капча.

  1. При вводе символов учтите регистр — заглавные и строчные буквы, цифры и специальные символы.
  2. При выборе изображений кликайте на те, что соответствуют заданию.
  3. Проверьте раскладку клавиатуры и включите нужную под задание.
  4. Если не удается различить символы — обновите капчу и убедитесь, что вы точно не робот =).

 


CAPTCHA — это одно из самых доступных и эффективных способов определить реального пользователя. Даже самый простой вариант испытания — ввод текста с картинки, значительно увеличивает требования к атакующему боту — ведь он должен уметь проходить такое испытание.

Стоит иметь в виду, что CAPTCHA — не конкретное испытание, а целый класс таковых. Ввод текста, перетаскивание кусочка картинки, выбор светофоров — всего лишь разные подходы, служащие одной цели — отделить ботов, которые в большинстве своем провалят это испытание, от людей, которые скорее всего пройдут его. 

Читайте в телеграм-канале DDoS-Guard

Анонсы, статьи, истории и советы по кибербезопасности. Каждый месяц собираем дайджест о самых громких событиях

Подписаться