‘Selecteer alle afbeeldingen met auto’s.’ Je kent het wel: wil je snel even een internetpagina op, moet je in een zoekplaatje vakjes aanklikken voordat je verder mag. Of eerst een bijna onleesbare code overtikken. Met zo’n zogeheten captcha willen websites robots weren, soms zelfs met een enkel vakje dat je moet aanvinken. Hoe houden die simpele tests robots buitenspel? Een beetje slimme bot moet die opgaven toch prima kunnen oplossen?
Knap lastig voor een computer
Zo’n puzzel is wel degelijk moeilijk voor een computer, zegt Gunes Acar, digitale veiligheidsonderzoeker aan de Radboud Universiteit. Het woord captcha is namelijk een afkorting voor de Engelse omschrijving: Completely Automated Public Turing test to tell Computers and Humans Apart. Oftewel, een geautomatiseerde test die mensen van robots onderscheidt met een puzzel.
‘De visuele puzzels vereisen dat je de opdracht snapt’, legt Acar uit. Zo’n opdracht is bijvoorbeeld: ‘Klik op de stoplichten in het plaatje’. Maar een volgende keer krijg je weer een andere opdracht, bijvoorbeeld dat je op alle fietsers moet klikken. Hierbij spelen captcha-makers in op de menselijke eigenschap om makkelijk nieuwe patronen te herkennen. Veel robots, ofwel computers, kunnen zo’n opdracht niet aan omdat het te abstract voor ze is.
Maar niet onoplosbaar
Toch lukte het wetenschappers in 2020 om met een automatisch programma captcha’s op te lossen, vertelt Acar. Dat programma kraakte de puzzels in gemiddeld twintig seconden. Om steeds beter ontwikkelde computerprogramma’s voor te zijn, worden captcha’s daarom steeds moeilijker. Soms zijn de vervormde woorden daardoor echt onleesbaar en niet alleen onoplosbaar voor robots, maar ook voor mensen. Na de vijfde keer de verkeerde oplossing geef je het dan misschien maar op. En klik je weg.
Er zijn ook bedrijven die aanbieden om de captcha’s te omzeilen, legt de onderzoeker uit. ‘Niet robots, maar mensen lossen dan de puzzels op.’ Iemand die per se zo’n captcha voor de gek wil houden, kan dat dus doen door robots of mensen in te zetten. Maar daar moet je dan wel relatief veel tijd of geld in steken. Voor simpel huis-, tuin-en keuken-internetschorriemorrie zal dat veel te veel moeite zijn.
Aan het werk gezet
Naast het buitenhouden van simpele hackers en bots haalt Google, aanbieder van veel captcha’s, nog een voordeel uit deze automatische tests. Het bedrijf verzet er ontzettend veel werk mee. Met jou, de oplosser, als gratis werkkracht. Dagelijks lossen miljoenen mensen captcha’s op. Tussen 2007 en 2011 hielpen ze daarmee zonder het te weten met het digitaliseren van boeken uit archieven. Naast een woord als captcha-test kregen ze namelijk een tweede woord dat uit een ingescand boek kwam. Zo zijn ook dertien miljoen oude krantenartikelen gedigitaliseerd. En sinds 2014 train je door captcha’s in te vullen AI-programma’s op het herkennen van bepaalde afbeeldingen, zoals stoplichten en fietsers. Handig voor bijvoorbeeld zelfrijdende auto’s die door AI bestuurd worden.
Slordige muis verraadt je
En hoe zit het met dat vinkje met de tekst ‘Ik ben geen robot’? Is dat voor een robot niet nog gemakkelijker te omzeilen dan plaatjes herkennen of onzinwoorden lezen? Nee. Dit simpele taakje beveiligt de boel zelfs nog beter dan andere vormen van captcha’s.
Veel websites verzamelen ook muisbewegingen en toetsenbordacties
In deze test gaat het er namelijk niet alleen om óf je dat vinkje aan kunt klikken, maar ook om hóé je dat doet. Mensen zijn nou eenmaal een stuk minder efficiënt in hun bewegingen dan bots, legt Acar uit. Het slordige pad dat je muis maakt zodra je naar dat vakje beweegt, is duidelijk anders dan de kaarsrechte route die een robot volgt. ‘Veel websites verzamelen muisbewegingen en toetsenbordacties.’ Waarschijnlijk doen vinkjes-captcha’s dat ook. Bij deze opgave scoor je daarom juist beter als je hem slordig voltooit.
Is je browser menselijk?
Ook op andere manieren checkt het programma of jouw gedrag wel menselijk is, of verdacht veel lijkt op dat van een robot. Zo bekijkt het, zodra je in het vakje klikt, je IP-adres, of je al eens in Google hebt ingelogd, en je browser-vingerafdruk. Die laatste is een datacollectie die het programma verzamelt over de instellingen van je browser.
Daaronder vallen bijvoorbeeld je cookievoorkeuren, beeldscherminstellingen, de tijdzone van het apparaat en de taalinstellingen. Met al die factoren schat captcha hoe groot de kans is dat je een robot bent. Lijkt jouw gedrag te weinig op dat van een echt mens? Helaas, dan kom je niet bij de webpagina, zelfs als het je gewoon lukte om in het vakje te klikken. In de nieuwste captcha’s zie je trouwens niet eens meer dat vinkje. Daarbij vindt de achtergrondcheck ook echt plaats op de achtergrond, zonder dat je het doorhebt.
Toekomstige captcha’s
Tot nu toe hielden captcha’s robots over het algemeen prima tegen, maar daar brengt AI verandering in. ‘Een aantal projecten claimt al dat ze met AI-taalmodellen captcha’s kunnen oplossen’, vertelt Acar. Op zich is dat helemaal niet gek: als Google zijn eigen AI traint met opgeloste captcha’s, kunnen andere bedrijven dat natuurlijk ook doen. Zo stelden onderzoekers van onder meer de University of California-Irvine (VS) in 2023 dat AI-robots sneller en beter zijn in het oplossen van captcha’s dan mensen. Of dat ook echt zo is, moet nog blijken, want het onderzoek is nog niet peer reviewed (gecheckt door andere wetenschappers).
Binnenkort zal Google captcha’s dus weer wat moeilijker moeten maken.
Acar: ‘Of ze zelfs fundamenteel herontwerpen.’ Wie weet, misschien zingen we in de toekomst wel zelf verzonnen liedjes waarmee captcha ons van robots wil onderscheiden op basis van creativiteit.
soraya.schachtschabel@quest.nl
Ben jij stiekem geen mens?
Als je het onderstaande rijtje volledig kunt afvinken, ben je misschien geen mens.
◼ Je denkt in enen en nullen.
◼ Je hebt geen beschamende jeugdherinneringen.
◼ Je werkt de klok rond (zónder koffie).
Captcha’s in allerlei smaken
Wil je met een test een robot van een mens onderscheiden? Dat kan op veel manieren. Online moet je vaak uit een rooster met afbeeldingen een bepaald type aanklikken, zoals plaatjes met boten erop. Of een totaal vervormde en deels verscholen code overtikken. Onderstaande vormen van captchatesten zijn zeldzamer. Ben jij ze al eens tegengekomen in de krochten van het internet?
◼ Draai door op pijltjes te drukken een plaatje zo dat het rechtop staat.
◼ Sleep een puzzelstukje naar de juiste plaats op het scherm.
◼ Luister naar een audiofragment en typ uit wat er wordt gezegd.
◼ Sleep iconen heen en weer in een 3x3-rooster totdat drie identieke iconen op een rij staan.
◼ Speel en win een spelletje ‘vijf op een rij’.
En wat doen cookies dan?
Is er geen captcha die je checkt als je op een link klikt, dan verschijnt er wel een irritant pop-upscherm over cookies. De snelste manier om daarvan af te komen is door alle cookies te accepteren. Maar wat accepteer je dan precies? Cookies zijn kleine beetjes data die een website op je computer of telefoonopslaat. Als je een andere pagina van die site bezoekt, onthoudt de site op die manier bepaalde gegevens, zoals je inlognaam. Daardoor hoef je die niet steeds opnieuw in te vullen. Soms blijven cookies zelfs op je apparaat staan nadat je de browser hebt afgesloten. Ook zijn er cookies die data over jou verzamelen, afkomstig van meerdere websites. Bijvoorbeeld je IP-adres, maar ook je voorkeuren. Op deze manieren bouwen ze gedragsprofielen. En met die profielen kan worden bepaald welke reclame het best bij jou werkt. Hmm, misschien toch maar niet altijd alle cookies accepteren.
