Виды капчи и как она защищает веб-ресурсы

Виды капчи и как она защищает веб-ресурсы

На многих при авторизации, заполнениикомментария появляется окно проверки. Системабот, с помощью короткого задания. Оно называется капча — CAPTCHA.

Капча — что это такое простыми словами

Это технология, позволяющая отличить человека от бота. Цель — защитить сайты и онлайн-сервисы от мошенничества, фейкового трафика, спама и DDoS-атак. 

Термин происходит от аббревиатуры CAPTCHA — Completely Automated Public Turing Test To Tell Computers and Humans Apart, что можно перевести как «полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей».

Проверку пользователей можно реализовать по-разному. Как правило, капча — это тест, который с легкостью проходят люди, но не способны пройти роботы. Идея базируется на том, что машина, в отличие от человека, не умеет распознавать размытые или измененные символы. Первая CAPTCHA появилась в 1997 году и представляла собой изображение с искаженным буквенно-цифровым кодом.

Однако с развитием нейросетей возможности ботов растут, что ведет к закономерному появлению всё новых видов защиты веб-ресурсов.

Виды капчи

Текстовые и символьные

Система генерирует случайный набор символов, переводит его в изображение и показывает на странице сайта. Картинка содержит искаженный текст и графические шумы: линии поперек символов, неоднородный фон или необычный шрифт.

Задача пользователя — прочитать текст и напечатать его в поле ввода. Алгоритмы проверяют введенную информацию и при верном прохождении задания разрешают доступ.

Аудио

Система проигрывает звуковую последовательность, после прослушивания которой нужно ввести ответ на вопрос или выполнить задание. Звуковые капчи часто добавляют к символьным на случай, если изображение с текстом недоступно либо пользователь не может его прочесть из-за слабого зрения.

Распознавание картинок

Чтобы пройти проверку, пользователь должен выполнить указанные действия с изображениями. Например, выбрать все картинки с заданным объектом: светофором, гидрантом или поездом.

Решение задачи

Система предлагает математическую или логическую задачу: например нужно решить простое уравнение, отметить объекты в указанном порядке или переставить символы в заданном слове.

Пазлы

Разновидность логических тестов: перемещение графических элементов по указанной логике, установка изображения в правильную позицию, сборка картинки-пазла из нескольких фрагментов.

reCAPTCHA

Инструмент от Google для комбинированной защиты от ботов. Незаметно для пользователя система отслеживает его действия: анализирует движение курсора, прокрутку страницы, клики, IP-адрес и другие факторы. Если поведение пользователя вызывает подозрения, его просят пройти тест. Проверка может включать в себя простойклик по рамке с подтверждением «Я не робот» или более сложные задачи: распознавание текста, выбор изображений или решение математического уравнения.

Когда может показываться капчаЗадача инструмента — запретить доступ автоматическим программам и ботам. Поэтому

CAPTCHA часто добавляют на этап совершения значимого действия. Например:

• ●  регистрация нового аккаунта;
• ●  вход в личный кабинет;
• ●  заполнение связи;
• ●  размещение онлайн-заявки;
• ●  смена регистрационных данных — восстановление пароля, обновление email;
• ●  публикация контента — комментариев, сообщений на форумах, отзывов, фото;
• ●  скачивание файлов.Также система может требовать пройти тест при обнаружении подозрительной активности. Примеры ситуаций:

• ●  многократная за короткий период;
• ●  подозрения на спам;
• ●  слишком быстрые действия;
• ●  необычные запросы, похожие на автоматические;
• ● скачивание большого количества файлов.
  
• ●  публикация десятков сообщений;

CAPTCHA может отображаться по умолчанию при каждом открытии формы или появляться после подозрительных действий — например, после неверного ввода логина и пароля.

От чего защищает капча: виды угроз 

Спам и массовая рассылка

Боты могут публиковать рекламу и ссылки на сторонние ресурсы в постах, отзывах и комментариях. Для защиты от спам-рассылок капчу встраивают всообщений.

DDoS-атаки

Если на сервер одновременно поступает большое количество запросов, веб-ресурс перестает отвечать, зависает или совсем не открывается. Капча для сайта помогает контролировать поток обращений, принимая запросы только от реальных пользователей.

Брутфорс-атаки

Чтобы взломать сайт, мошенники могут использовать программы для подбора логинов и паролей. В зону повышенного риска попадают ресурсы на WordPress, Joomla и других широко распространенных CMS. Для защиты от брутфорсинга помогает CAPTCHA на входе в аккаунты пользователей с доступом администратора.

Автоматический сбор данных

Специальные скрипты и программы имитируют поведение пользователей и собирают телефонные номера, email, содержимое веб-страниц. Символьные и графические тесты помогают защитить контент и информацию от копирования, спама и других видов нежелательного использования.

Боты и сканеры

Вредоносные программы могут совершать фальшивые конверсии: добавлять товары в корзину, заказывать обратный звонок или записываться на прием. Чтобы не тратить время на обработку заявок от несуществующих клиентов, проверку добавляют на этапе оформления заказа.

Также CAPTCHA служит защитой от ботов, которые пытаются сканировать сайт и получить доступ к конфиденциальным данным.

Популярные сервисы для добавления капчи

Большинство интернет-ресурсов используют готовые решения:

• reCAPTCHA от Google;
• hCAPTCHA от Intuition Machines — бесплатная капча для сайта, аналог reCAPTCHA с усиленной защитой конфиденциальности;
• SmartCAPTCHA от Яндекса — российская разработка с функциями, аналогичными reCAPTCHA.

Это технологичные сервисы, которые используют ML-модели для анализа поведения пользователей. Если глубокая проверка не нужна, можно подключить простые бесплатные плагины: например, Math Comment Spam Protection, Really Simple CAPTCHA или Captcha от BestWebSoft.

Установка капчи на сайт

Подключить CAPTCHA на одностраничник или другой ресурс можно через расширения в WordPress или другой CMS или вручную, если проект написан с нуля.

Для установки reCAPTCHA, hCAPTCHA, SmartCaptcha нужно создать учетную запись на портале разработчика и сгенерировать ключи: клиентский — для отображения виджета на сайте и серверный — для генерации тестов и проверки кодов.

Недостатки использования капчи

Ухудшение конверсии

Каждый лишний шаг на пользовательском пути снижает вероятность выполнения целевого действия. Пример: потенциальный клиент заходит на одностраничник, знакомится с услугами и заполняет заявку на обратный звонок. В заявке он указывает имя, контактные данные, тему обращения и интересующий продукт. После ввода всей информации пользователь еще должен пройти капчу. Это часто вызывает раздражение, а из-за слишком сложного задания или нечитаемых символов клиент может вообще отказаться отправлять заявку.

Чтобы избежать подобных проблем, нужно выбирать вид проверки в соответствии с целями защиты и особенностями целевой аудитории. Капча для форм обратной связи или размещения заказа в интернет-магазине не должна быть слишком сложной, а выполнение задания не должно отнимать много времени.

Ухудшение производительности сайта

Загрузка виджета может замедлять работу веб-ресурса, поэтому CAPTCHA стоит добавлять только на самые важные страницы.

Недостаточная защита

Боты развиваются и учатся, они всё лучше обходят проверку. Это значит, что для комплексной защиты стоит использовать дополнительные инструменты: фильтры от спама в комментариях и контактных формах, бесплатные и платные сервисы блокировки бот-трафика или авторизацию через аккаунты в соцсетях.