Är du människa eller maskin?

Hur våra hemliga detektiver skyddar din webbplats från ondskefulla botar

Utvecklingen av CAPTCHA-tekniken har varit avgörande för att möta detta ökande hot från allt smartare botar. I grund och botten handlar det om att implementera olika tekniker för att automatisera välkomnandet av människor på webbplatsen och samtidigt konsekvent avvisa botar. Här följer en översikt över några av de vanligaste teknikerna.

"I'm not a robot"

Du har säkert sett dialogrutan med den korta meningen komma upp på skärmen åtskilliga gånger när du försökt komma åt en webbplats. Kanske har du undrat hur en så enkel åtgärd som att kryssa i en ruta skulle kunna avskräcka oönskade botar.

Sanningen är att det inte är kryssrutan som fungerar som test för att upptäcka botar. Testet äger rum redan i steget dessförinnan. Genom att analysera hur muspekaren rör sig över skärmen kan systemet i realtid försöka avgöra om det är en människa eller en robot som använder webbplatsen. Medan botar rör sig mekaniskt och snabbt över skärmen mot dialogrutan, rör sig mänskliga användare oregelbundet och ryckigt.

Tidsanalys

På samma sätt kan sättet du skriver på tangentbordet analyseras för att skapa ett tidsmönster som kan hjälpa oss att avgöra om du är människa eller bot. Människor tar sig tid att tänka och agerar inte alltid logiskt; de kan göra stavfel och tveka över ett specialtecken, medan botar är övermänskligt snabba och helt befriade från mänskliga misstag.

Honeypot-CAPTCHA

En effektiv CAPTCHA-metod mot botar är den så kallade Honeypot-CAPTCHA. Tekniken är enkel: i ett webbformulär inkluderas dolda fält som endast en bot skulle fylla i. Dessa fält är osynliga för människor. Om fälten fylls i, kan vi därför med stor säkerhet säga att användaren är en bot och därefter avvisa den från webbplatsen.

Bildanalys

Om systemet upplever ditt beteende på en webbplats som tvetydigt kan du ibland bli ombedd att utföra en CAPTCHA-utmaning för att bevisa din mänsklighet. Du uppmanas då att till exempel klicka på alla bilder av cyklar, trafikljus, broar eller annat som visas i en uppdelad bildruta. Bilderna är ofta medvetet otydliga och det är inte bara rätt rutor som ska väljas. Även muspekarens rörelsemönster över bilden analyseras när systemet försöker avgöra om användaren är människa eller bot.

Föga överraskande har botarna gradvis utvecklats och blivit allt bättre på att flyga under radarn och undvika upptäck. Bakom kulisserna pågår i själva verket en evig katt-och-råtta-lek mellan oss som försöker skydda webbplatser och de företag som ligger bakom botarna.

ReCAPTCHA v3

För att inte belasta användarupplevelsen med tidskrävande formulär och CAPTCHA-utmaningar har dolda bakgrundstekniker börjat användas för att upptäcka och avvisa botar. En sådan innovation är Google ReCAPTCHA v3. Denna CAPTCHA-variant lanserades 2021 och kan upprätthålla en hög webbplatssäkerhet utan att påverka användarupplevelsen negativt.

ReCAPTCHA v3 arbetar diskret i bakgrunden och övervakar användarinteraktionen i realtid för att bedöma om det är en människa eller en bot. All interaktion med webbplatsen analyseras och betygsätts baserat på sannolikheten att det är en människa.

Webbplatsägare kan själva bestämma den tröskel som krävs för att ge åtkomst. Om en användare erhåller en tillräckligt hög poäng anses de legitima och tillåts använda webbplatsen utan ytterligare tester eller frågor.

ReCAPTCHA v3 använder maskininlärning för att göra betygssättningen av användarbeteenden allt mer exakt. Tekniken är relativt enkel att implementera och kan användas för att förhindra skräppost i kommentarsfält, skydda mot skadliga inloggningar eller skapa ett säkrare kundinloggningssystem.