CAPTCHA, um acrônimo para "Completely Automated Public Turing Test* to Tell Humans Apart", refere-se a vários métodos de autenticação que validam usuários como humanos, e não robôs, apresentando testes aos usuários com um desafio que é simples para humanos, mas difícil para máquinas. Os CAPTCHAs evitam que golpistas e agentes que enviam spam usem bots para preencher formulários da web para fins maliciosos.
Para os CAPTCHAs antigos, os usuários deveriam ler e digitar novamente corretamente novamente um texto distorcido que não poderia ser interpretado pela tecnologia de reconhecimento ótico de caracteres (OCR). Novas iterações de tecnologia CAPTCHA usam análises de comportamento e risco orientadas por IA para autenticar usuários humanos com base em padrões de atividade em vez de uma única tarefa.
Muitos websites requerem que os usuários concluam o desafio de CAPTCHA antes de efetuar login no perfil de conta, enviar um formulário de registro, publicar um comentário ou realizar outra ação para a qual os hackers poderiam usar um robô. Ao vencer o desafio, os usuários, por serem humanos, receberão permissão para continuar sua atividade no website.
Os primeiros formulários de tecnologia CAPTCHA foram desenvolvidos por vários grupos diferentes em paralelo durante o final dos anos 1990 e início dos anos 2000. Cada grupo estava trabalhando para combater o problema generalizado de hackers que usavam robôs para realizar atividades criminosas na Internet. Por exemplo, os cientistas de computadores que trabalhavam para o mecanismo de busca AltaVista queriam evitar que os robôs adicionassem endereços da web maliciosos ao banco de dados de links da empresa.
Pesquisadores da empresa de TI Sanctum registraram o primeiro sistema estilo CAPTCHA em 1997. Mas o termo CAPTCHA foi cunhado em 2003 por um grupo de pesquisadores de ciência da computação na Carnegie Mellon University, liderado por Luis von Ahn e Manuel Blum. Esta equipe se inspirou a desenvolver essa tecnologia após assistir uma palestra de um executivo da Yahoo sobre os problemas da empresa com robôs de spam que efetuavam login com milhões de contas de e-mail falsas.
Para resolver o problema da Yahoo, von Ahn e Blum criaram um programa de computador que 1) gerava uma sequência aleatória de caracteres de texto, 2) gerava uma imagem distorcida desse texto (chamada de 'código CAPTCHA'), 3) apresentava a imagem para o usuário e 4) pedia ao usuário para inserir o texto em um campo de formulário e, então, enviava essa informação clicando na caixa de seleção ao lado da frase "Não sou um robô". Pelo fato de a tecnologia de reconhecimento ótico de caracteres (OCR) da época não ser avançada o suficiente para decifrar esse texto distorcido, os robôs não conseguiram resolver o desafio CAPTCHA. Se um usuário inserisse a sequência de caracteres correta, assumia-se com certeza que era humano e tinha permissão para prosseguir com seu registro de conta ou envio de formulário da web.
A Yahoo implementou a tecnologia de Carnegie Mellon, exigindo que todos os usuários passassem pelo teste CAPTCHA antes de criarem um endereço de e-mail. Isso reduziu significativamente a atividade dos robôs de spam e outras empresas passaram a adotar CAPTCHAs para proteger seus formulários da web. Após um período, no entanto, os hackers usaram dados de desafios de CAPTCHA concluídos para desenvolver algoritmos capazes de resolver de forma confiável os testes de CAPTCHA. Isso marcou o início de uma batalha entre os desenvolvedores do CAPTCHA e os cibercriminosos, que promoveu a evolução da funcionalidade do CAPTCHA.
reCAPTCHA v1
Lançado por von Ahn em 2007, o reCAPTCHA v1 tinha um duplo objetivo: dificultar a resolução do desafio CAPTCHA baseado em texto para os robôs e melhorar a precisão do reconhecimento ótico de caracteres (OCR) que estava sendo usado naquela época para digitalizar textos impressos.
O reCAPTCHA alcançou o primeiro objetivo aumentando a distorção do texto exibido para o usuário e, eventualmente, adicionando linhas ao longo do texto.
Ele alcançou o segundo objetivo substituindo uma única imagem de texto distorcido gerado aleatoriamente por duas imagens de texto distorcido com palavras de textos reais digitalizados por dois programas de OCR diferentes. A primeira palavra, ou palavra de controle, era uma palavra identificada corretamente por ambos programas de OCR. A segunda palavra era uma que ambos os programas de OCR falharam em identificar. Se o usuário identificasse corretamente a palavra de controle, o reCAPTCHA 1) assumia que o usuário era humano e permitia que ele continuasse sua tarefa e 2) também assumia que o usuário havia identificado a segunda palavra corretamente e usava a resposta para verificar os resultados futuros do OCR.
Dessa forma, o reCAPTCHA melhorou a segurança anti-robô e melhorou a precisão dos textos digitalizados no archive da internet e no New York Times. Ironicamente, também ajudou a aprimorar os algoritmos de inteligência artificial e machine learning e em 2014 já era possível identificar os CAPTCHAs de texto mais distorcidos 99,8 das vezes.
Em 2009, a Google adquiriu o reCAPTCHA e começou a usá-lo para digitalizar textos para o Google Books enquanto além de oferecê-lo como um serviço a outras organizações. No entanto, à medida que a tecnologia OCR avançou com a ajuda do reCAPTCHA, o mesmo aconteceu com os programas de inteligência artificial que poderiam efetivamente resolver reCAPTCHAs baseados em texto. Em resposta, a Google lançou os reCAPTCHAs de reconhecimento de imagem em 2012, que substituíram o texto distorcido por imagens retiradas do Google Street View. Os usuários provavam que eram humanos identificando objetos do mundo real como semáforos e táxis. Além de superar o OCR dominado por robôs, esses reCAPTCHAs baseados em imagem foram considerados mais adequados para usuários de aplicativos móveis.
Google ReCAPTCHA v2: reCAPTCHA sem CAPTCHA
Em 2014, a Google lançou o reCAPTCHA v2, que substituiu os desafios baseados em texto e imagem por uma simples caixa de seleção afirmando "Não sou um robô". Quando o usuário clica na caixa de seleção, o reCAPTCHA v2 analisa as interações do usuário com as páginas da web, avaliando os fatores como velocidade de digitação, cookies, histórico do dispositivo e endereço IP para determinar se o usuário é possivelmente um humano. A caixa de seleção também é parte de como o CAPTCHA funciona: o reCAPTCHA sem CAPTCHA rastreia os movimentos do mouse do usuário enquanto ele clica na caixa. Os movimentos de um humano tendem a ser mais caóticos, enquanto os movimentos dos robôs são mais precisos. Se um reCAPTCHA sem CAPTCHA suspeitar que um usuário pode ser um robô, ele apresenta a eles um desafio CAPTCHA baseado em imagem.
ReCAPTCHA v3
O re CAPTCHA v3, que foi lançado em 2018, usa a caixa de seleção e vai além da análise de risco orientada por IA do reCAPTCHA sem CAPTCHA. O ReCAPTCHA v3 integra-se a uma página da web via API de JavaScript e é executado em segundo plano, avaliando o comportamento do usuário em uma escalar de 0,0 (provavelmente um robô) a 1,0 (provavelmente um humano). Os proprietários de websites podem definir ações automatizadas a serem acionadas em alguns momentos quando a pontuação de um usuário sugere que ele pode ser um robô. Por exemplo, comentários de blog de usuários com pontuação baixa podem ser enviados para uma fila de moderação quando clicarem em "enviar" ou os usuários com pontuação baixa podem ser solicitados a realizar um processo de autenticação multifator quando tentarem entrar em uma conta.
Ao remover desafios interativos do processo de verificação do CAPTCHA, os métodos de autenticação baseados em IA como o reCAPTCHA v3 buscam eliminar o problema de hackers que usam dados de desafios resolvidos anteriormente para treinar robôs para solucionar novos CAPTCHAs. Por causa disso, os especialistas acreditam que os CAPTCHAs baseados em IA podem se tornar um padrão, substituindo completamente os CAPTCHAs baseados em desafios nos próximos 5 a 10 anos.
Como uma medida de detecção e prevenção contra robôs, a tecnologia CAPTCHA tem vários usos comuns, incluindo:
Prevenção contra registros falsos. Ao solicitar aos usuários que resolvam os desafios do CAPTCHA antes de se cadastrarem em uma conta de e-mail, perfil de redes sociais ou outro serviço on-line, as empresas podem filtrar robôs que estão buscando esses serviços para distribuir spam ou malware ou o realizar atividades maliciosas. Os primeiros usuários do CAPTCHA foram as empresas como a Yahoo, Microsoft e AOL, que queriam impedir que os robôs registrassem contas e-mail falsas.
Proteção contra transações suspeitas. As empresas como a Ticketmaster usaram o CAPTCHA para evitar que robôs comprem recursos limitados, como ingressos para shows e sua revenda em mercados ilegais.
Protegendo a integridade da pesquisa on-line. Sem um obstáculo como o CAPTCHA, as pesquisas on-line podem ser prejudicadas por robôs. Alguns dos primeiros experimentos com tecnologia parecida com CAPTCHA foram motivados pela necessidade de proteger a integridade dos resultados de pesquisas on-line. Por exemplo, para assegurar a qualidade de suas pesquisas de opinião on-line durante a eleição presidencial americana de 1996, a Digital Equipment Corporation pediu aos usuários para localizar e clicar em uma imagem pixelada de uma bandeira na página da web antes de votar.
Interrompendo o spam de comentários e análises de produtos Golpistas e cibercriminosos costumam usar a seção de comentários de blogs e artigos para aplicar golpes e espalhar malware. Eles também podem spam de comentários, no qual um grande número de comentários falsos de uma publicação impulsiona a classificação de um produto em um website de comércio eletrônico ou mecanismo de busca. Os robôs também podem usar seções de comentários não protegidas para realizar campanhas de assédio. Essas atividades maliciosas podem ser mitigadas solicitando aos usuários que realizem um CAPTCHA antes de publicar um comentário ou análise.
Defendendo-se contra ataques de força bruta e dicionário. Em ataques de força bruta e de dicionário, os hackers violam uma conta usando robôs para adivinhar combinações de números, letras e caracteres especiais até encontrar a senha correta. Esses ataques podem ser evitados exigindo que os usuários realizem um CAPTCHA após um número de tentativas de login malsucedidas.
Enquanto a tecnologia CAPTCHA geralmente é eficaz em identificar robôs, isso não acontece sem algumas contrapartidas.
Experiência inconveniente para o usuário. Os desafios CAPTCHA incluem uma etapa adicional em processos de registro, login e preenchimento de formulários que algumas pessoas acham cansativos. Além disso, à medida que a complexidade do CAPTCHA se intensificou para combater robôs mais sofisticados, a resolução de CAPTCHAS também se tornou frustrante para os usuários. Em um estudo de 2010, quando pesquisadores da Universidade de Stanford pediram a grupos de três pessoas que resolvessem os mesmos CAPTCHAs, os participantes concordaram por unanimidade na solução CAPTCHA apenas 71% das vezes (PDF, 2,5 MB; link externo a IBM.com). O estudo também descobriu que pessoas que não são falantes nativas de inglês têm mais dificuldade para resolver CAPTCHAS que os falantes nativos, o que sugere que CAPTCHAs podem ser mais desafiadores para alguns grupos do que para outros.
Falta de acessibilidade. Os CAPTCHAs de texto e imagem podem ser extremamente desafiadores ou impossíveis de resolver para usuários com deficiência visual. Isso é agravado pelo fato de que os leitores de tela não conseguem ler a maioria dos desafios CAPTCHA, porque esses testes são projetados para serem ilegíveis por máquinas.
Formulários alternativos de CAPTCHAs tentaram lidar com esse problema, mas eles têm suas próprias limitações. Os CAPTCHAs de áudio, que pedem aos usuários para decifrar um áudio truncado, são notoriamente difíceis de resolver. O supramencionado estudo de Stanford constatou que os usuários concordam unanimemente na solução para os áudios de CAPTCHA apenas 31% das vezes.
O MAPTCHA, um tipo de CAPTCHA que pede aos usuários para resolver problemas matemáticos simples, é altamente vulnerável a ser quebrado por algoritmos.
Usar CAPTCHAs inacessível pode ter repercussões legais da mesma forma. A Seção 508 da Emenda da Lei de Reabilitação de 1973, apresentada em 1998, exige que as agências federais dos EUA e organizações privadas que fazem negócios com essas agências disponibilizem informações digitais para pessoas com deficiência. As empresas podem não atender a esta necessidade caso não tiverem opções de CAPTCHA acessíveis.
Taxas de conversão mais baixas. A experiência inconveniente para o usuário e a falta de acessibilidade dos CAPTCHAs podem influenciar negativamente as taxas de conversão. Em um estudo de caso de 2009 de 50 sites, a solicitação para os usuários realizarem um CAPTCHA reduziu as conversões legítimas em 3,2% (link externo a IBM.com). Os CAPTCHAs de áudio podem ser especialmente prejudiciais: o estudo de Stanford mencionado acima descobriu que os usuários desistem de resolver CAPTCHAS de áudio 50% das vezes.
Os robôs de IA continuam evoluindo para derrotar novos CAPTCHAs.Os esquemas de CAPTCHA mudaram muitas vezes desde a concepção da tecnologia, porque os bots evoluíram consistentemente para solucionar cada novo desafio de CAPTCHA. A própria estrutura da tecnologia CAPTCHA contribui para esse problema porque os CAPTCHAs dependem de problemas não resolvidos de IA para impedir o avanço de robôs. Quando os humanos resolvem desafios de CAPTCHA, eles geram conjuntos de dados que podem treinar algoritmos de machine learning para solucionar esses problemas de IA anteriormente impossíveis. Por exemplo, em 2016, o pesquisador de ciência da computação, Jason Polakis, usou a busca de imagem reversa do Google para solucionar CAPTCHAS de imagem com 70% de precisão.
Questões de privacidade. Enquanto novos formulários de CAPTCHA tentam resolver problemas de acessibilidade e evitar o avanço dos robôs removendo totalmente os desafios interativos, alguns usuários e pesquisadores consideram os CAPTCHAS orientados por IA bastante invasivos. As pessoas indicaram suas preocupações sobre como o reCAPTCHA v3 usa códigos e cookies para rastrear usuários em diversos sites. Alguns acham que não há transparência suficiente sobre como esses dados de rastreamento podem ser usados para fins além da verificação.
*Um teste de Turing, batizado com o nome de seu criador, Alan Turing, avalia a capacidade de uma máquina de demonstrar inteligência humana.
Conecte cada usuário ao nível certo de acesso com a solução de IAM do IBM Security Verify.
O IBM Security Verify permite que você vá além da autenticação básica com opções de autenticação de diversos fatores ou sem senha.
Proteja proativamente usuários e ativos com autenticação assistida por IA e baseada em risco com o IBM Security Verify.
O IAM permite aos administradores de TI atribuir, autenticar, conceder permissão e gerenciar uma única identidade digital para cada usuário ou entidade na rede.
A autenticação multifator requer pelo menos um fator de autenticação além de uma senha, ou pelo menos dois fatores de autenticação em vez de uma senha, para autenticar usuários.
A SSO permite aos usuários efetuar login em uma sessão uma vez, usando um único conjunto de credenciais de login e acessar diversos aplicativos e serviços relacionados durante essa sessão.