CAPTCHA’s zijn kapot

0
12

Stop. Denk eens terug aan de laatste keer dat u probeerde in te loggen op een website.

Heb je op dat selectievakje geklikt? Degene die zegt: Ik ben geen robot? Voelde je je echt een robot terwijl je erop klikte?

Misschien hoefde je helemaal niets aan te klikken. Misschien heeft de code alleen maar gekeken naar uw muisbewegingen, uw IP-geschiedenis, uw cookies, en u naar binnen laten glijden omdat hij vermoedde dat u echt was. Maar soms verschijnt het raster. Korrelige vierkanten. Verkeerslichten. Oversteekplaatsen. motorfietsen.

Identificeer ze. Doe het nu. Of je krijgt een ban.

CAPTCHA staat voor Completely Automated Public Turing Test to Tell Computers and Humans Apart. Een mondvol. De naam impliceert een eenvoudige belofte. Deze taken zijn gemakkelijk voor mensen. Moeilijk voor bots. Daarom stopt spam. Accountovernames stoppen. De site blijft veilig.

Het werkte één keer. Eind jaren 90. Toen het lezen van vervormde tekst nog een puzzel was die machines niet konden kraken.

Andreas Plesner van ETH Zürich noemde het een eenvoudig probleem verpakt in een moeilijk omhulsel. Als ik je niet kan aanraken. Als ik geen fysieke interactie heb met de andere partij. Is het een persoon? Of coderen?

Vroege versies vertrouwden op verwrongen woorden. Tekstherkenningssoftware was toen onhandig. Hij struikelde over krommingen en geluid. Daarom hebben we meer kromming toegevoegd. Wij hebben het nog erger gemaakt.

Toen kocht Google de technologie. Rond 2009 of zo. De proef is verschoven. Van tekst tot beeld. reCAPTCHA heeft Street View-tegels verwijderd. Identificeer de stopborden. Identificeer de fietsen.

Ng Chong, hoofd IT aan de Universiteit van de Verenigde Naties in Tokio, verwoordde het duidelijk.

“De weddenschap was dat het herkennen van objecten in rommelige foto’s uit de echte wereld een unieke menselijke vaardigheid was”

Het was een goede gok. Destijds. Mensen zijn goed in het herkennen van dingen in lawaai. Bots waren dat niet.

Maar toen kwam reCAPTCHA v2. Het checkbox-tijdperk. Onder de beeldpuzzel zit een laag gedragsanalyse. Het houdt in de gaten hoe je beweegt. De snelheid. De zweeftijd. De kliksnelheid. Het beoordeelt uw menselijkheid voordat u wordt gevraagd een stoplicht te herkennen. Als je er verdacht uitziet. Het raster verschijnt.

Vermoeden is subjectief. Dus hebben ze het geautomatiseerd.

Toen werd de AI wakker.

Goedkope deep learning-modellen hebben de barrière van 70 procent succespercentage al in 2016 doorbroken. Nog maar zes jaar geleden. Een laptop kan doen wat een mens ook kan.

Tegen 2024 bouwde het team van Plesner een AI-model. Het loste reCAPTCHA-puzzels correct op. Elke keer. Honderd procent nauwkeurigheid.

En Chong? Hij bouwde begin 2026 een tool die menselijke surfpatronen zo goed nabootste dat het beeldraster volledig werd omzeild. Soms bleef het selectievakje leeg. Geen puzzel nodig. Gewoon nepgedrag. Toen het raster verscheen, wist zijn AI het in een paar pogingen te wissen.

Dus wat nu?

Wanneer zowel de gedragslaag als de beeldpuzzel falen. Wanneer een standaardlaptop op uw bureau de code breekt. Het uitgangspunt verdampt. De veronderstelling dat mensen kunnen doen wat machines niet kunnen, houdt stand.

Zijn ze dan verouderd?

Niet helemaal.

Plesner constateerde een maas in de wet. Het model heeft de puzzel opgelost. Het versloeg de backend-verdediging niet. Zijn team moest VPN’s gebruiken. Bij elke test IP-adressen wijzigen. Omdat één IP-adres dat een CAPTCHA-engine raakt herhaaldelijk blokken met een hogere moeilijkheidsgraad activeert. Totaal verboden.

Het moderne spel draait niet meer om het plaatje. Het gaat over de schaduwen. De metagegevens.

reCAPTCHA v3 Vriendelijke CAPTCHA hCAPTCHA Cloudflare Tourniquet. Ze stellen geen vragen. Ze kijken alleen maar. Ren je vanaf een gecertificeerd apparaat? Een echt stukje hardware. Of een headless script? Heeft uw IP-adres de server eerder gehamerd? Wat is uw cookiegeschiedenis?

Het is een stille audit. Geen gebruikersfrictie. Als je goed scoort. Jij komt binnen.

Maar de rasters blijven bestaan.

Ze zijn goedkoop. Eenvoudig in te zetten. Een erfenis van tientallen jaren. De status quo blijft bestaan, omdat het moeilijk is om dingen te veranderen. Chong zegt dat het voor velen nog steeds kosteneffectief is.

Er is een nadeel. Afgezien van de bots.

Mensen haten ze. En niet alleen omdat het vervelend is om oversteekplaatsen op te merken. Het is uitsluiting. Mensen met een visuele beperking hebben moeite met beeldtesten. Het creëert barrières waar die niet zouden moeten bestaan.

Eén onderzoeker wees hierop in 2022. We hebben een poortwachter gebouwd die de mensen die hij probeert te beschermen pijn doet.

Neal Agarwal hekelde deze frustratie met een gratis spel. “Ik ben geen robot.” Het parodieert de escalatie. Fase één. Eenvoudig. Fase tien. Absurd. Je verdient punten door falende logica. Door puzzels op te lossen die meer wiskunde op PhD-niveau vereisen dan webbeveiliging vereist.

Als de CAPTCHA eist dat een proefschrift slaagt. Wie gebruikt internet?

We willen niet dat het internet exclusief is. Wij willen niet elke dinsdag om 16.00 uur ons soortlidmaatschap bewijzen.

De oplossing ligt dus niet in moeilijkere puzzels.

Misschien is loslaten de oplossing. Of een ander soort test bouwen. Eén waarbij je niet hoeft te bewijzen dat je geen machine bent. Eén die ervan uitgaat dat je echt bent. Tenzij het tegendeel bewezen is.

De machines zijn bezig met een inhaalslag. Snel. De schildpadden en haviken vervagen in het korrelige vierkant.

Kun je ze uit elkaar houden?