🍪 Można ciasteczko?

Ta strona chce wykorzystywać pliki cookie do analizowania ruchu oraz mierzenia skuteczności i personalizacji reklam zgodnie z polityką prywatności. Zgadzasz się?

PORADNIKI

11 min. czytania

CAPTCHA: co to jest i jak zabezpieczyć stronę WWW?

Captcha

Fot. MM

Mateusz Mazurek

Mateusz Mazurek

Przedsiębiorca internetowy. Wydawca i autor blogów. Od ponad 16 lat wymagający klient dziesiątek różnych firm hostingowych.

O mnie Kontakt

Co to jest CAPTCHA? Jak działa? Rodzaje zabezpieczeń CAPTCHA. Instrukcja wdrożenia zabezpieczenia na stronę WWW krok po kroku.

Spis treści
Strona WWW

Czym jest CAPTCHA i jakie ma znaczenie dla serwisu internetowego? To jedno z zabezpieczeń, które może zwiększyć bezpieczeństwo Twojej strony WWW. Na czym jednak ono polega i w jaki sposób skutecznie z niego korzystać?

CAPTCHA jest powszechnie znana zarówno właścicielom stron internetowych, jak i użytkownikom. Możemy spotkać ją w wielu miejscach w sieci, czasem nawet nie wiedząc, że mamy do czynienia właśnie z tym zabezpieczeniem. Występuje ono bowiem w kilku znacznie różniących się od siebie formach. Wszystkie natomiast mają jeden cel – ochronę witryny przed niepożądanymi działaniami.

Z pewnością doskonale wiesz, jak ważne są zabezpieczenia serwisów internetowych. Z jednej strony dzięki nim dane wysyłane przez użytkowników pozostają bezpieczne. Z drugiej, witryna może działać bezawaryjnie i masz pewność, że wszystko z nią w porządku. W jaki sposób jednak wprowadzić i skonfigurować system CAPTCHA w swoim własnym miejscu w sieci? W tym artykule znajdziesz szczegółowe informacje dotyczące tego zabezpieczenia i instrukcję, jak z niego korzystać krok po kroku.

Weryfikacja CAPTCHA – co to jest?

CAPTCHA (ang. Completely Automated Public Turing test to tell Computers and Humans Apart) to rodzaj zabezpieczenia wykorzystywany przez strony internetowe. Jego zadaniem jest powstrzymanie automatów zwanych botami przed korzystaniem z określonych funkcji serwisu. Odpowiada również za ochronę przed SPAMem (Co to jest SPAM?), prowadząc do prawidłowego działania witryny WWW.

CAPTCHA opiera się na generowaniu testu, który następnie musi zostać prawidłowo rozwiązany przez użytkowników internetu. W ten sposób oprogramowanie potwierdza, że jako internauci, nie jesteśmy maszyną, a prawdziwymi ludźmi. Dzięki temu otrzymujemy dostęp do pożądanych funkcji strony i możemy z niej bezpiecznie korzystać.

Pierwotnie CAPTCHA wyświetlała losowo wygenerowaną sekwencją liter, które były prezentowane w formie zniekształconego obrazu. Użytkownik musiał je przepisać, do czego – w założeniu twórców – roboty nie są zdolne. Przez lata jednak system ten był wielokrotnie atakowany przez internetowych oszustów. Dla wielu łamanie zabezpieczeń stało się wręcz formą wyzwania. To doprowadziło do powstania wielu jego odmian i wersji. Charakteryzują się one różnym stopniem skomplikowania i rodzaju testu, prezentowanego odbiorcy. Uważniej przyjrzymy się tym typom zabezpieczeń w dalszej części tekstu.

Obecnie na rynku znajdziesz kilka rozwiązań spełniających zadania CAPTCHA. Oprócz klasycznego oprogramowania sięgnąć możesz również m.in. po:

  • reCAPTCHA – ochrona stworzona przez Google,
  • Cloudflare Turnstile – rozwiązanie oferowane przez Cloudflare,
  • Invisible Captcha – ukryta wersja reCAPTCHA, niewymagająca reakcji użytkownika,
  • i wiele innych.

Test Turinga a CAPTCHA

Wiele osób nie wie, skąd wzięła się idea testu CAPTCHA. Nie jest to bowiem przypadkowy sprawdzian człowieczeństwa, wymyślony bez żadnego oparcia o dane naukowe. Okazuje się, że u jego podstawy leży wykonane ponad 70 lat temu badanie matematyka, Alana Turinga. Jego celem było sprawdzenie, czy maszyna potrafi myśleć i jest w stanie „oszukać” prawdziwego człowieka.

W pierwotnej wersji testu brały udział 3 strony:

  • „sędzia”,
  • człowiek (rozmówca),
  • maszyna.

Podstawę badania stanowił dialog tej trójki „uczestników”. Każdy z nich przebywał w osobnym pomieszczeniu. Zarówno człowiek, jak i maszyna, „rozmawiali” tylko z „sędzią” przez 5 minut. Ten na koniec miał rozstrzygnąć, gdzie przebywał robot, a gdzie człowiek. Jak się szybko okazało, sprawa nie była taka łatwa.

Aż 30 proc. sędziów, którzy wzięli udział w badaniu, zostało „oszukanych” przez maszynę. Nie byli w stanie odróżnić jej od prawdziwego człowieka, co miało wskazywać na jej inteligencję. Na podstawie tych wyników opracowano CAPTCHĘ, której głównym zadaniem jest odróżnianie ludzi od maszyn.

Zastosowanie ochrony przed robotami CAPTCHA – przykłady

Kod CAPTCHA jest wykorzystywany przez serwisy o różnej budowie, tematyce i systemie działania. Jest spotykana zarówno na forach dyskusyjnych, jak i sklepach internetowych czy na blogach. Zwykle zabezpieczenie chroni takie funkcje, jak np.:

  • dodawanie komentarzy przez użytkowników,
  • wypełnianie formularzy kontaktowych,
  • zakładanie konta użytkownika,
  • publikowanie postów,
  • wyszukiwanie informacji.

Dzięki temu witryna „odsiewa” SPAM i zapytania generowane przez automaty. Ogranicza ilość wysyłanych do serwera zapytań, dbając o jego dobrą kondycję. Dodatkowo też zmniejsza ryzyko podejmowania ewentualnych prób wykonywania niepożądanych działań na stronie. Rolą systemu CAPTCHA jest wyłapanie zachowań nietypowych i podejrzanych. Gdy natomiast takie zostają zauważone, to następuje ich skuteczne powstrzymanie (poprzez niedopuszczenie do realizacji funkcji).

Ze względu na swoją skuteczność, różne formy CAPTCHA często są stosowane w serwisach gromadzących poufne dane. Mowa tu o witrynach umożliwiających dostęp do m.in. kart kredytowych albo rachunków bankowych. W ich przypadku bowiem wszelkie dodatkowe zabezpieczenia są szczególnie istotne.

Świetnym przykładem skutecznego działania systemu CAPTCHA są rozwiązania oferowane przez Google. W przypadku produktów amerykańskiego giganta, ten rodzaj ochrony można spotkać w wielu miejscach, m.in.:

  • podczas rejestrowania nowego konta Google Workspace,
  • przy zmienianiu hasła do istniejącego konta Google,
  • podczas zakładania nowego konta w wybranych usługach Google (m.in. Blogger, Gmail czy YouTube),
  • podczas konfiguracji usług w aplikacjach i urządzeniach innych firm (np. zewnętrznych klientów pocztowych, urządzeń Apple itd.).

Rodzaje zabezpieczeń CAPTCHA

Jak wspominaliśmy, obecnie weryfikacja CAPTCHA przybiera rozmaite formy. Jako osoba prowadząca własną stronę internetową, samodzielnie możesz zdecydować, z której z nich skorzystasz. Żadna co prawda nie gwarantuje 100-procentowej ochrony, mimo to jednak znacznie zmniejsza stopień potencjalnego zagrożenia. Warto zatem wybrać przynajmniej jedno z rozwiązań, które będzie zarazem skuteczne i przyjazne dla użytkowników.

Tekstowe CAPTCHA

Tekstowe CAPTCHA to jeden z najczęściej spotykanych wariantów zabezpieczeń. Polega na przepisaniu tekstu wyświetlonego w okienku tekstowym. Znaki widoczne w witrynie często są zamazane bądź zniekształcone. Ma to zwiększyć poziom trudności dla ewentualnych oszustów. W praktyce natomiast zdarza się, że sprawia trudność nawet prawdziwym użytkownikom.

Forma prezentowanego tekstu może być rozmaita. Czasem jest to przypadkowe słowo lub kilka niezwiązanych ze sobą wyrazów. Niejednokrotnie natomiast z pola tekstowego trzeba przepisać ciąg losowych liter, cyfr i znaków. To najskuteczniejsze rozwiązanie, praktycznie niewykonalne dla bota, zatem skutecznie chroniące przez SPAMem.

Do tej kategorii zaliczany bywa również tzw. kod CAPTCHA. W jego przypadku użytkownik dostaje zadanie tekstowe w formie obrazka ze znakami, cyframi i literami. Jego zadaniem jest jednak przepisanie ich w odwrotnej kolejności. Stanowi to dodatkowe utrudnienie, dzięki czemu Twoje miejsce w internecie jest lepiej chronione.

Tekstowe captcha

Obrazkowe CAPTCHA

Kolejna, bardzo często spotykana wersja CAPTCHA. W tym przypadku użytkownik musi poszukiwać na obrazku wybranej rzeczy. Gdy ją znajdzie, musi zaznaczyć okienko, w którym się ona znajduje. Zwykle taki „zestaw” zabezpieczający składa się z dziewięciu zdjęć, nad którymi znajduje się polecenie określające rodzaj szukanego przedmiotu czy obiektu. Może być to łódka, góra, rower, most, samochód i wiele innych elementów.

Ten rodzaj zabezpieczenia jest już w internecie owiany prawdziwą legendą. Wynika to z faktu, że wzbudza w wielu użytkownikach niepewność związaną z niejasnym poleceniem. Pytanie zadane przez system zwykle brzmi podobnie do:

  • Zaznacz tylko te zdjęcia, na których widać motocykle.

Problem w tym, że czasem jeden pojazd jest podzielony między kilka kafelków. Sporo osób nie ma więc pewności, czy zaznaczać również te fragmenty, na których widać zaledwie niewielką część danego obiektu. To natomiast przekłada się na więcej czasu poświęcanego na rozwiązanie tego zadania, niż np. przepisując w polu tekstowym znaki widoczne na obrazku. Frustracja internautów nie sprzyja z kolei prowadzeniu e-biznesu.

Captcha obrazkowe

Zagadki CAPTCHA

Jedno z ciekawszych i bardziej kreatywnych zabezpieczeń, choć stosunkowo rzadko stosowane. Polega na rozwiązywaniu przez użytkowników rozmaitych łamigłówek i zagadek strzegących dostępu do witryny. Najczęściej do uzyskania dostępu niezbędne jest rozwiązanie zadania matematycznego na bardzo podstawowym poziomie. Alternatywnie może być to również podanie odpowiedzi na pytanie z wiedzy ogólnej czy dopasowanie elementu układanki.

Problematyka tego sposobu polega na tym, że trudno jest ustalić wspólny, „łatwy” poziom, dla wszystkich odbiorców. O ile dopasowywanie elementów układanki jest łatwe i intuicyjne, o tyle odpowiadanie na pytania, czy rozwiązywanie zadań matematycznych może zniechęcić niektórych internautów.

Zagadka captcha

Dźwiękowe CAPTCHA

Rodzaj techniki, która praktycznie nigdy nie jest wykorzystywana samodzielnie. Zazwyczaj test dźwiękowy jest dostępny jako alternatywa dla obrazkowego czy tekstowego. Stanowi opcję dodatkową, gdy np. użytkownik nie jest w stanie przejść wariantu głównego.

CAPTCHA w wersji audio ma ogromne znaczenie w przypadku osób niewidomych lub niedowidzących. Mogłyby mieć one naturalny problem z rozwiązaniem zadań wyświetlanych na monitorze. Wersja dźwiękowa natomiast ma za zadanie im pomóc, jednocześnie gwarantując zabezpieczenia na wysokim poziomie.

Captcha audio

reCAPTCHA od Google

Bez wątpienia, podczas korzystania z różnych witryn internetowych, wpadła Ci w oko nazwa reCAPTCHA. Skojarzenie jej z systemem CAPTCHA jest całkowicie naturalne. Obie inicjatywy mają zresztą ze sobą wiele wspólnego.

Wersja z przedrostkiem „re” jest pewnego rodzaju ewolucją i unowocześnioną wersją klasycznego rozwiązania. Jest to technologia stworzona przez Google, której głównym celem jest połączenie dwóch elementów:

  • odpowiedniego zabezpieczenia stron internetowych,
  • zapewnienia użytkownikom wygody, minimalizując jednocześnie negatywne doświadczenia wynikające z tradycyjnych wersji testów.

Właśnie w ten sposób powstało nowe rozwiązanie. reCAPTCHA stosowana jest w większości produktów Google i bywa nazywana po prostu CAPTCHA. Różni się jednak od niej wyglądem, bo zamiast zagadek i obrazków, prezentuje odbiorcy najczęściej wyłącznie charakterystyczne okienko. Zaznaczenie go oznacza potwierdzenie, że „nie jestem robotem. To proces zdecydowanie szybszy i wygodniejszy.

reCaptcha

Jak wdrożyć CAPTCHA na stronach WWW? Instrukcja krok po kroku

Proces wdrażania rozwiązania CAPTCHA na stronie internetowej zależy od rodzaju technologii, na którą się zdecydujesz. Poniżej stworzyliśmy dwie instrukcje, które wyjaśnią Ci krok po kroku, w jaki sposób wdrożyć reCAPTCHA od Google i wygodny Cloudflare Turnstile.

Jak włączyć reCAPTCHA od Google?

Włączenie reCAPTCHA nie należy do czasochłonnych. Dla osób niedoświadczonych może natomiast być nieco skomplikowane. Najpierw bowiem konieczne jest wygenerowanie klucza prywatnego i publicznego. Aby to zrobić, musisz najpierw wejść na stronę https://www.google.com/recaptcha/about/. Tam przejdź do zakładki z najnowszą wersją oprogramowania, czyli „v3 Admin Console” w momencie pisania tego tekstu.

Strona reCaptcha

Po przejściu do kolejnego okna wypełnij formularz tworzenia klucza. Musisz w nim:

  • podać etykietę nowego klucza,
  • wybrać typ reCAPTCHA,
  • dodać swoją domenę internetową,
  • określić adres e-mail właściciela,
  • zaakceptować warunki korzystania z tej technologii.

Gdy uzupełnisz niezbędne dane, naciśnij niebieski przycisk „Prześlij„. Po chwili na Twoim ekranie powinny pojawić się dwa wygenerowane przez system klucze: prywatny i publiczny.

Klucze reCaptcha

Teraz umieść klucze w swojej witrynie. Jeśli korzystasz z WordPressa, to możesz zrobić to przy użyciu licznych wtyczek. Jedną z najpopularniejszych, wykorzystujących reCAPTCHA, jest Contact Form 7. Pozwala ona na tworzenie formularzy kontaktowych, chronionych przez CAPTCHA. Wystarczy tylko, że pobierzesz plugin, zainstalujesz go i przejdziesz do jego zakładki w kokpicie WP. Znajdziesz tam opcję „Integracje z innymi usługami”. Wybierz reCAPTCHA i wklej powyższe dwa klucze w odpowiednie miejsca.

To rozwiązanie możesz umieścić również bezpośrednio w witrynie, jeśli np. prowadzisz sklep na platformie Shoper. W takim przypadku wystarczy tylko, że zalogujesz się do swojego konta, a następnie:

  1. otworzysz „Ustawienia”,
  2. przejdziesz do zakładki „Zaawansowane”, a następnie „Bezpieczeństwo”,
  3. w sekcji reCAPTCHA zaznaczysz ustawienie znacznika na „Tak”,
  4. wkleisz wygenerowane wcześniej klucze we wskazane pola.

Po wszystkim zapisz wprowadzone zmiany.

Jak włączyć Cloudflare Turnstile?

Lubianą i popularną alternatywą dla reCAPTCHA Google jest Cloudflare Turnstile. Jego zaletą jest łatwość obsługi, bo weryfikacja trwa krótką chwilę. Zależnie od wersji, może też nie wymagać żadnego działania ze strony użytkownika. Co więcej, to rozwiązanie nie zbiera też danych internautów do ponownego kierowania reklam. Możesz natomiast wykorzystać je w swojej witrynie na wiele sposobów, np.:

  • podczas logowania WordPress,
  • podczas komentowania WP,
  • przy rejestracji i resetowaniu haseł.

Cloudflare Turnstile ściśle współpracuje z WordPressem i różnymi jego elementami. Dzięki temu z powodzeniem wykorzystasz go m.in. w WooCommerce oraz w całej palecie popularnych wtyczek WP, takich jak m.in. Mailchimp, WPForms, MemberPress i wielu innych.

Captcha Cloudflare Turnstile

Jak skorzystać z tej formy ochrony? Pierwszym krokiem jest przejście na stronę https://dash.cloudflare.com i zarejestrowanie się w usłudze Cloudflare. To rozwiązanie jest darmowe w podstawowej wersji. Nie musisz zatem obawiać się żadnych opłat.

Po założeniu konta dodaj do niego swoją domenę, na której chcesz uruchomić dodatkową ochronę. Następnie z listy funkcji wybierz Turnstile i skonfiguruj jego ustawienia. Wybierz opcję, która Ci odpowiada:

  • Manage – użytkownik może zostać poproszony o rozwiązanie zadania,
  • Non-interactive – wyświetli tylko baner świadczący o weryfikacji (taki, jak na powyższym screenie),
  • Invisible – zabezpieczenie niewidoczne dla użytkownika.

Po dodaniu swoich domen w panelu Cloudflare pojawi się klucz publiczny i prywatny. Podobnie jak w przypadku reCAPTCHA, musisz wprowadzić je w odpowiednim miejscu. Przejdź więc do swojego konta WordPress i pobierz wtyczkę Simple Cloudflare Turnstile.

Wtyczka WordPress Simple Cloudflare Turnstile

Po zainstalowaniu pluginu uruchom go, przejdź do jego zakładki i otwórz „Ustawienia”. Tam wklej dwa klucze w pustych polach i naciśnij przycisk „TEST RESPONSE”. Po potwierdzeniu synchronizacji możesz zaznaczyć elementy, które chcesz objąć ochroną Cloudflare Turnstile. Wybierz warianty, na których Ci zależy, i zapisz zmiany. Ochrona od razu zostanie uruchomiona.

Test CAPTCHA – czy warto z niego korzystać?

Zabezpieczenie CAPTCHA, podobnie jak system reCAPTCHA czy rozwiązania innych firm, nigdy nie gwarantują 100-procentowego bezpieczeństwa. Zawsze istnieje potencjalne ryzyko, że Twoja strona padnie ofiarą ataku internetowego oszusta. Może być to konkretna osoba, jak i zmasowany atak botów, przypominający atak DDoS. Sekret sprawnego zarządzania własnym miejscem w sieci polega natomiast na tym, aby ograniczać oraz minimalizować tego typu zagrożenia na wszelkie tego typu zagrożenia.

CAPTCHA jest jedną z najskuteczniejszych metod, która na to pozwala. W trosce o przechowywane dane strony i użytkowników, zdecydowanie warto zatem skorzystać z tego rozwiązania. Przemyśl jednak formę ochrony, której zamierzasz użyć. Wersje obrazkowe czy tekstowe bywają niezwykle irytujące dla użytkowników.

Zrozumiałe jest, że chcesz chronić te osoby. Uważaj jednak, aby ich do siebie przy tym nie zrażać. Przez to – nawet mimo gwarancji bezpieczeństwa – mogą rozważać odejście do konkurencji. Warto w związku z tym przemyśleć nowocześniejsze rozwiązania, takie jak reCAPTCHA czy Cloudflare Turnstile. Dzięki nim pogodzisz odpowiedzialną i skuteczną ochronę z troską o zadowolenie odbiorcy.