Wat is CAPTCHA en waarvoor wordt het gebruikt op websites

Een CAPTCHA helpt je om onderscheid te maken tussen echte bezoekers en geautomatiseerde bots. Zo voorkom je dat formulieren, logins en reacties op jouw website misbruikt worden. CAPTCHA staat voor “Completely Automated Public Turing test to tell Computers and Humans Apart”. Een CAPTCHA geeft een kleine opdracht die voor mensen eenvoudig is, maar voor bots lastig.

Voorbeeld Google reCaptcha

Waarvoor gebruik je CAPTCHA op een website

Op moderne websites speelt CAPTCHA vooral een rol bij formulieren en accounts. Denk aan contactformulieren, offerteaanvragen, inlogschermen en registratiepagina’s. Je wilt dat deze onderdelen veilig en bruikbaar blijven voor echte bezoekers.

Veel voorkomende toepassingen zijn onder andere:

• Beschermen van polls en stemmen, zodat één persoon niet onbeperkt kan stemmen met behulp van bots.
• Beveiligen van registratieformulieren, zodat bots geen grote aantallen nepaccounts kunnen aanmaken.
• Beperken van misbruik bij ticketverkoop en inschrijvingen voor evenementen.
• Voorkomen van spam via contactformulieren en reactievelden op blogs of beoordelingspagina’s.

Hoe werkt een CAPTCHA

Een traditionele CAPTCHA toont vervormde letters en cijfers. De gebruiker moet die overnemen in een veld. Voor mensen is dit meestal herkenbaar. Voor bots veel minder.

Dit werkt doordat mensen patronen beter zien dan geautomatiseerde scripts. Bots proberen vaak willekeurige combinaties of volgen vaste patronen. De kans dat zij de juiste tekens invoeren is klein.

In de loop der tijd zijn bots slimmer geworden door machine learning. Daardoor zijn nieuwere varianten ontwikkeld, zoals reCAPTCHA. Deze vragen bijvoorbeeld om vakjes aan te klikken of afbeeldingen te kiezen. De manier waarop iemand beweegt en klikt speelt ook mee in de beoordeling.

Nadelen van CAPTCHA voor gebruikers

CAPTCHA is effectief tegen veel bots, maar kan ook nadelen hebben voor de gebruikservaring van je website:

• Bezoekers ervaren extra stappen als storend of vermoeiend.
• Niet elke gebruiker kan een CAPTCHA even goed lezen of begrijpen.
• Sommige varianten werken minder goed in bepaalde browsers.
• Niet alle CAPTCHA soorten zijn goed toegankelijk voor gebruikers met hulpmiddelen zoals schermlezers.

Soorten CAPTCHA die je op een website tegenkomt

Grofweg zijn er drie hoofdtypen CAPTCHA.

1. Tekst gebaseerde CAPTCHA

Dit is de klassieke vorm. De gebruiker ziet vervormde letters of cijfers en moet deze overnemen. Soms in combinatie met hoofdletters of extra ruis, lijnen of kleuren.

Deze vorm is lastig voor bots die zwakke tekstherkenning gebruiken. Voor bezoekers kan het soms ook lastig leesbaar zijn.

Voorbeelden van technieken voor tekst gebaseerde CAPTCHA:

• Gimpy: kiest meerdere woorden uit een woordenlijst en vervormt deze.
• EZ-Gimpy: gebruikt één vervormd woord.
• Gimpy-r: selecteert losse letters en voegt achtergrondruis toe.
• Simard's HIP: maakt combinaties van vervormde letters en cijfers met extra vormen en kleuren.

2. Afbeelding gebaseerde CAPTCHA

Bij een afbeelding gebaseerde CAPTCHA ziet de gebruiker verschillende foto’s of pictogrammen. De opdracht is dan bijvoorbeeld: selecteer alle plaatjes met verkeersborden of selecteer de afbeeldingen zonder auto’s.

Voor veel bezoekers is dit makkelijker dan vervormde tekst. Voor bots is dit juist lastig, omdat beeldherkenning en begrip van de inhoud nodig zijn. Voor mensen met een visuele beperking is dit type minder geschikt.

3. Audio CAPTCHA

Een audio CAPTCHA is ontwikkeld als alternatief voor gebruikers die slecht zien. De gebruiker hoort een reeks cijfers of letters en moet deze invoeren.

Ook hier wordt vaak ruis toegevoegd, zodat bots de opname minder makkelijk kunnen uitlezen. In de praktijk zijn audio CAPTCHAs niet altijd eenvoudig, zowel voor mensen als voor bots.

CAPTCHA met woorden of sommen

Sommige CAPTCHAs vragen om een eenvoudige rekensom, zoals 2+3 of 10-4. Andere vragen om een ontbrekend woord in een zin aan te vullen.

Dit is vaak beter bruikbaar voor mensen met een visuele beperking. Tegelijk kunnen slimme bots dit soort opdrachten soms wel oplossen, omdat de structuur voorspelbaar is.

Aanmelden via social media als alternatief

Een veelgebruikt alternatief is inloggen of registreren via een social media profiel, zoals Facebook of LinkedIn. De gegevens van de gebruiker worden dan ingevuld via Single Sign On (SSO).

Dit kan de drempel voor echte gebruikers verlagen en tegelijk misbruik verminderen. Toch blijft het een extra stap in het proces.

Google reCAPTCHA in webdesign

In moderne websites wordt reCAPTCHA vaak gebruikt. Deze variant is meestal minder storend dan traditionele CAPTCHAs. De bekendste vorm is het selectievakje met de tekst “Ik ben geen robot”. De gebruiker vinkt het vakje aan en kan het formulier verzenden.

Op de achtergrond analyseert reCAPTCHA het gedrag van de gebruiker. Denk aan muisbewegingen, klikmomenten en andere signalen. Lijkt het gedrag op dat van een echte bezoeker, dan is de checkbox genoeg.

Twijfelt reCAPTCHA, dan volgt vaak een extra controle. Bijvoorbeeld door een reeks afbeeldingen te tonen en de gebruiker te vragen om specifieke afbeeldingen te selecteren.