"Spam will be a thing of the past in two years!" declared Bill Gates at the World Economic Forum in Davos in 2004. A false statement that still makes the internet community laugh today and probably means that the Microsoft co-founder’s name will be on the list of the most spectacularly incorrect IT declarations of all time.
Not even Gates had an idea of how much spam would develop in the next 13 years. Even today, there’s not a day that goes by where internet users aren’t confronted with automatically generated advertising content: be it in their e-mail inboxes, on their favorite blogs, in the comment section of an online store, or in their website’s guestbook.
In fact, spam bots are getting smarter. These generally autonomous computer programs search the internet for forms and other interactive webpage elements to place advertisements – and even overcome sophisticated anti-spam procedures.
The captcha has been used as spam protection for a long time. But these annoying puzzles often pose more of a problem for human users than the spam programs. In fact, recent studies on captcha technology have shown that the established spambots often have a lower error rate when it comes to captchas than humans. Is this the end of captcha codes, image tests, and logic puzzles? We provide you with an overview of the applications of captcha technology, compare different types of captchas, and present other types of spam prevention.
Quando si parla di captcha, si indica un procedimento usato per la protezione spam. L’obiettivo è quello di proteggere le pagine web interattive da possibili abusi, escludendo gli input generati automaticamente. L’acronimo captcha sta per “Completely Automated Public Turing test to tell Computers and Humans Apart”, che tradotto in italiano significa quindi “Test di Turing pubblico e completamente automatico per distinguere computer e umani”.
Già nel 1950 l’informatico Alan Turing propose un procedimento per mettere alla prova la facoltà mentale dell’intelligenza artificiale. Secondo il pioniere del computer, una macchina è in grado di imitare l’intelletto umano, se in una chat riesce a conversare con le persone senza che queste si accorgano che si tratti di un computer.
Il test di Turing ha fatto la storia della ricerca IA (Intelligenza Artificiale) ed è stato superato da un programma per il computer nel 2014: il supercomputer Eugene Goostman ha ingannato per almeno 5 minuti più del 30 % di una giuria indipendente ed è stato così il primo computer al mondo a riuscirvi. Eugene si è spacciato con successo per un teenager ucraino con un porcellino d’india e che si entusiasmava per i testi politicamente scorretti del rapper EMINEM.
Oggigiorno ciò che suona ancora come fantascienza è il problema principale di Internet. Per le pagine web interattive è di vitale importanza poter distinguere tra visitatori del sito reali e programmi per il computer all’interno del processo di Human Verification. Dei sempre più raffinati captcha dovrebbero perciò aiutare a respingere gli input automatici o le richieste degli spam bot, oltre che gli strumenti per i click automatici.
La maggior parte delle volte i captcha vengono utilizzati quando le applicazioni web richiedono un input da parte dell’utente. Immaginate di gestire uno shop online e di dare ai vostri clienti la possibilità di utilizzare una funzione di commento per valutare il prodotto. In questo caso dovete assicurarvi che gli inserimenti provengano in realtà dai vostri clienti o perlomeno da visitatori in carne e ossa del vostro sito. Spesso sotto ai prodotti si trovano invece diversi commenti spam generati automaticamente, nel peggiore dei casi con link che rimandano alla concorrenza.
Si può limitare il danno rendendo sicuri i moduli online tramite un captcha, con il quale gli utenti si devono autentificare come persone prima di poter inviare ciò che hanno inserito. Oggi i captcha si trovano in quasi tutti i settori in cui serve distinguere gli utenti umani dai bot. Ciò concerne ad esempio la creazione di account di login per i servizi e-mail, newsletter, community e social network, ma anche sondaggi online o servizi web come i motori di ricerca.
Con il passare del tempo si sono sviluppati diversi metodi per eseguire una Human Verification. Vale però la regola che nessun procedimento affermato offre una sicurezza dallo spam del 100 % e in ogni caso la tecnologia captcha compromette l’usabilità del sito.
Malgrado i veloci progressi della ricerca IA, il presupposto alla base del concetto di captcha è che per quanto riguarda la capacità di pensiero sussistano sempre differenze tra un uomo e un programma per il computer. Ogni captcha comprende perciò almeno un compito che dovrebbe essere superato dagli utenti umani ma che in teoria mette le macchine di fronte a un problema irrisolvibile.
I procedimenti basati su captcha per la Human Verification si possono suddividere grosso modo in captcha testuali, captcha grafici, captcha sonori, captcha matematici, captcha logici e gamification captcha.
La forma più antica di Human Verification è il captcha testuale, dove vengono trasfigurate parole conosciute o combinazioni casuali di lettere e cifre. Per superare la prova un utente deve decifrare la parola rappresentata nel box per il captcha e inserirla tramite tastiera nel campo testuale previsto. I classici metodi che vengono utilizzati per la creazione di captcha testuali sono Gimpy, ez-Gimpy, Gimpy-r e Simard’s HIP.
La trasfigurazione comprende diversi passaggi nei quali i singoli caratteri della soluzione vengono distorti, scalati, ruotati o curvati e vengono combinati con elementi grafici aggiuntivi, come linee, archi, punti, tonalità di colori o disturbi nello sfondo. La seguente grafica indica una selezione di possibili trasformazioni testuali in cui ci si può imbattere su Internet.
I captcha testuali assicurano una protezione sicura contro lo spam solo quando la parola rappresentata diventa un ostacolo insormontabile per i programmi con il riconoscimento automatico del testo. Solitamente ciò presuppone però una trasfigurazione che limita significativamente anche la leggibilità per gli utenti umani.
Ciò può essere dimostrato con gli esempi seguenti. Se ad esempio volete creare un account gratuito con Microsoft, dovete prima inserire le lettere nell’apposito campo come vi viene indicato dal captcha testuale.
Nell’esempio qui sopra non è difficile per un utente riconoscere le lettere “SGPKDL”, mentre diversamente accade quando ci si vuole registrare per il forum di Linux Mint.
In questo caso la sequenza corretta è “1VYEJX”, ma l’ultimo carattere si presta a interpretazioni, perché potrebbe rappresentare sia la lettera “X” che il simbolo “+”.
Mentre nel primo captcha ci si chiede se un sofisticato software di riconoscimento testuale riuscirebbe a leggerlo o meno, nel secondo caso la trasfigurazione si dimostra talmente elaborata da comportare difficoltà anche per un utente umano. Solitamente un captcha ben implementato dà anche la possibilità di saltare la parola mostrata al momento e di tentare con un’altra più leggibile. Non è difficile immaginare come i visitatori di un sito siano “elettrizzati” da captcha di questo tipo con cui si ritrovano a confrontarsi spesso.
Con il tempo si sono perciò affermate innumerevoli alternative alla tecnologia captcha testuale: ad esempio una variante celebre di questo classico captcha testuale è offerto da Google con reCAPTCHA. Al posto di generare parole casuali, reCAPTCHA si alimenta con diversi progetti digitali come Google Libri o Google Street View. Così agli utenti vengono mostrati nomi di vie, case, cartelli stradali, oltre che frammenti di parti di testo scansionate che devono essere decifrate e inserite tramite tastiera in un campo testuale.
Perciò il software offre sempre due elementi: uno conosciuto e già confermato e uno non ancora confermato. Generalmente gli utenti devono solo riconoscere il primo elemento per riuscire a risolvere il captcha. Gli utenti che decifrano anche il secondo elemento prendono parte al programma di digitalizzazione di Google. Gli input immessi vengono verificati su base statistica. Gli elementi da decifrare vengono sempre presentati a più utenti e la risposta più frequente diventa anche quella corretta.
L’esempio seguente mostra due diverse richieste strutturate con reCAPTCHA, in cui gli utenti si imbattono quando si registrano nelle community.
Un’alternativa ai captcha testuali sono i procedimenti basati sulle immagini. Al posto di presentare agli utenti una soluzione distorta composta da cifre e lettere, i captcha basati sulle immagini si appoggiano ad elementi grafici comprensibili velocemente. Solitamente vengono presentate più foto con motivi di tutti i giorni disposte le une accanto alle altre. L’utente ha il compito di cliccare un elemento preciso, di identificare motivi simili o di trovare una correlazione semantica.
Il seguente esempio mostra un captcha grafico che viene utilizzato nel servizio di Google reCAPTCHA. All’utente viene mostrata un’immagine principale di un gatto e gli viene chiesto di selezionare tutte le altre immagini che raffigurano dei gatti.
In alternativa Google utilizza dei captcha in cui gli utenti devono selezionare delle sezioni precise di una foto, ad esempio tutti i campi su cui sono rappresentati parti di un cartello di una via. A differenza dei reCAPTCHA testuali, qui basta un click sulle sezioni delle immagini relative per superare la verifica.
La maggior parte degli utenti comprende la soluzione di un captcha grafico solo dopo pochi istanti. La facoltà dei programmi per il computer di capire un motivo riprodotto, di ordinarlo semanticamente e di classificare gli stessi elementi è però ancora molto limitata, pertanto i captcha grafici si ritengono più efficaci come protezione dallo spam rispetto ai procedimenti testuali.
I captcha testuali e grafici si possono catalogare tra i procedimenti grafici di Human Verification. Il fatto che un utente umano riesca a superare una verifica simile dipende fondamentalmente dalla sua abilità nel riconoscere le informazioni testuali o grafiche rappresentate. Per le persone con problemi alla vista e non vedenti un captcha grafico può rappresentare un grande ostacolo. I captcha che possono essere percepiti solo con uno dei cinque sensi dimostrano un basso grado di usabilità e si dimostrano quindi non accessibili a tutti. I gestori dei siti che utilizzano i captcha dovrebbero perciò fare attenzione al fatto che i procedimenti di verifica scelti mettano a disposizione degli utenti più soluzioni su diversi canali sensoriali.
Per consentire anche alle persone non vedenti un accesso alle aree protette da captcha di un’applicazione web, i procedimenti di verifica testuali o grafici sono combinati in genere con i captcha sonori. Spesso viene perciò implementato un pulsante alternativo con cui gli utenti possono ascoltare una registrazione audio, ad esempio una breve sequenza di numeri che può essere inserita in un input previsto.
Di seguito è possibile vedere il pulsante per il volume alla destra del campo testuale:
Per garantire il maggior grado di usabilità possibile, l’audio registrato deve essere comprensibile e adattato a seconda della lingua dell'utente.
Un altro tipo di captcha che prende ugualmente in considerazione le esigenze dei non vedenti si basa su esercizi matematici o indovinelli per scartare gli spam bot. Un’operazione come la seguente, se necessario, può essere letta ad alta voce con uno screen reader e viene così messo a disposizione degli utenti che utilizzano dispositivi di riproduzione non visivi.
Semplici operazioni matematiche presuppongono solitamente una conoscenza elementare della materia e non rappresentano così un grande ostacolo neanche per gli spam bot. Tanto più che i computer superano notevolmente le persone nel momento in cui si trovano a dover far di conto. Questo tipo di captcha viene perciò combinato spesso con le diverse possibilità di trasfigurazione testuale, cosa che compromette l’accessibilità per gli screen reader.
Diventa molto più complicato per i programmi quando il risultato di un calcolo non viene richiesto sotto forma di cifra, ma come parola o nel caso in cui debba essere inserita solo una singola cifra del risultato (esempio: fai la moltiplicazione di 7 x 7 e inserisci la prima cifra del risultato nel campo previsto. Il risultato dell’operazione sarebbe 49, ma la soluzione del captcha è 4).
Oltre ad esercizi matematici, nei captcha vengono utilizzati anche compiti logici o domande su nozioni generali, spesso con un riferimento tematico alla propria applicazione web. In un forum su un software SMF (acronimo di Simple Machines Forum), l’utente deve rispondere a due domande sull’argomento prima di poter procedere con la registrazione.
I captcha logici comprendono domande che potranno sembrare banali per gli utenti umani, ma non lo sono per i classici spam bot che non sono generalmente in grado di stabilire le giuste associazioni.
Individua tutti i colori presenti nella lista: mela, verde, arancia, pomodoro, giallo (Risposta: verde e giallo)
Inserite la quarta parola in questa frase. (Risposta: parola)
Qual è la terza lettera della penultima parola? (Risposta: n)
Quante teste ha una mucca? (Risposta: una)
Questi tipi di captcha sono strutturati di modo che anche se per la risposta vengono usate delle diverse varianti (ad esempio caratteri maiuscoli e minuscoli) si ottiene comunque il risultato voluto.
I gestori di siti che temono di spaventare i loro visitatori con criptici captcha testuali o complicati esercizi di matematica, possono trarre vantaggio dalla tendenza a rendere tutto in maniera ludica. I servizi come SweetCaptcha e FunCaptcha offrono dei mini giochi ricreativi che si possono integrare come gamification captcha.
SweetCaptcha si affida alla facoltà associativa delle persone e pone ai visitatori dei semplici compiti di assegnazione. Nell’esempio seguente basta muovere le bacchette sul tamburo per dimostrare di essere delle persone reali.
SweetCaptcha usa anche una variazione del classico puzzle come captcha, in cui gli utenti devono muovere le parti delle immagini tramite drag&drop.
Invece, su FunCaptcha si muove tutto in tondo. Solo quando il cane si trova nella giusta posizione, il software considera valido l’inserimento e fa proseguire l’utente.
I gamification captcha risultano perciò più originali e divertenti rispetto al semplice inserimento di lettere da dover individuare tra vari elementi di disturbo.
Se un captcha è in grado di difendere bene dagli spam bot e lascia passare gli utenti umani indisturbati, riduce notevolmente l’impegno richiesto per l’amministrazione di un sito. I gestori di una pagina che offrono contenuti generati dagli utenti si risparmiano la fatica di dover verificare manualmente i post. Inoltre un server viene drasticamente alleggerito quando gli input automatici e le richieste vengono bloccate preliminarmente, prima che vengano chiamate in causa le reazioni del sistema con un maggior impiego di risorse. Ma cosa contraddistingue un buon captcha?
La ricerca IA fa continuamente dei progressi. L’abilità di programmi specializzati di estrapolare i testi distorti o di risolvere esercizi logici migliora a vista d’occhio. Già nel 2014 un team di ricercatori di Google ha reso noto un modo (download del PDF su arxiv.org), con cui si possono risolvere i classicireCAPTCHA nel 99,8 % dei casi. Come base dati sono stati utilizzati 10 milioni di numeri civici di case che il team ha generato con Google Street View.
Molti servizi di captcha tentano di compensare i progressi dell’apprendimento automatico attraverso procedimenti di verifica sempre più difficili. Nella prassi i captcha sfiorano non di rado i limiti dell’irrisolvibilità.
Già nel 2010 i ricercatori della Stanford University (download del PDF su http://web.stanford.edu) indicavano che i captcha rappresentavano in molti casi una grande sfida per gli stessi utenti reali. In uno studio è stato richiesto a più di 1.100 persone di risolvere quasi 318.000 captcha basati sugli schemi più comuni dell’epoca.
In media i tester hanno portato a termine i captcha grafici in 9,8 secondi. Per i captcha sonori hanno invece avuto bisogno di 28,4 secondi, più del triplo del tempo richiesto per quelli grafici. Mostrando lo stesso captcha grafico a 3 tester differenti, questi sono giunti alla stessa soluzione solo nel 71 % dei casi. Per quanto riguarda i captcha sonori, la coincidenza era nettamente inferiore con una quota del 31 %. Inoltre i ricercatori hanno notato una frequenza di rimbalzo del 50 % nel caso di captcha sonori. L’uso di un procedimento di Human Verification e il modo in cui questo viene realizzato si ripercuotono sulla motivazione di un visitatore di interagire con il sito in questione.
A questo proposito già nel 2009 l’azienda SaaS MOZ ha pubblicato un articolo sul blog sull’effetto dei captcha sul tasso di conversione dei moduli web. In uno studio sul caso l’autore di YouMoz, Casey Henry, ha analizzato in un periodo di tempo di sei mesi più di 50 siti aziendali ed è giunto alla conclusione che i tassi di conversione dei moduli online (ad esempio per la registrazione alle newsletter) in media scendevano del 3,2 % nel caso in cui fossero stati attivati dei captcha. Tuttavia anche lo spam si riduceva dell’88 %.
Proprio le aziende che generano introiti nel momento in cui gli utenti interagiscono con il sito, dovrebbero riflettere se una frequenza di rimbalzo in questo ordine di grandezza è accettabile. Qui serve calcolare i costi dei metodi antispam alternativi con le perdite generate dai captcha.
La scelta di una tecnologia captcha adeguata diventa difficile per i gestori dei siti che vorrebbero rendere pienamente accessibili le loro pagine senza barriere e quindi anche a persone disabili.
Ci sono molte persone diversamente abili che utilizzano Internet e proprio per questo tipo di utenti le possibilità offerte dal World Wide Web promettono spesso una notevole semplificazione della vita di tutti i giorni. Ma la maggior parte delle offerte online non è accessibile a tutti. Anche i captcha si presentano spesso come una barriera insormontabile, ad esempio quando la possibilità di verifica non può essere risolta per via di problemi alla vista o altri tipi di disabilità.
Anche le Web Content Accessibility Guidelines(WCAG) della Web Accessibility Initiative (WAI) del World Wide Web Consortium (W3C) si concentrano sulla questione dell’accessibilità in relazione ai captcha e stabiliscono i seguenti punti come requisiti di base per un captcha senza barriere:
Anche la Consip, la centrale acquisti della pubblica amministrazione, ha evidenziato la necessità della pubblica amministrazione di rendere i suoi siti accessibili a tutti nel documento contenuto sul loro sito.
Oltre a garantire i requisiti di base, si consiglia di integrare sempre i captcha in un testo di accompagnamento esplicativo. I gestori dei siti che impostano i captcha come mezzo di prevenzione contro lo spam dovrebbero assicurarsi che gli utenti comprendano come possono autenticarsi come utenti umani. Ciò sottintende una guida comprensibile del test di Turing presentato in forma testuale e leggibile dalle macchine, oltre che con campi di input forniti di leggende adeguate. Gli utenti dovrebbero in ogni caso avere la possibilità di saltare i captcha illeggibili e di ripetere la verifica con un nuovo captcha, nel caso in cui l’inserimento risulti errato.
Inoltre il captcha non dovrebbe mai essere l’unica possibilità di utilizzare un’offerta web. In alternativa al captcha offrite sempre anche l’opzione di poter essere attivati prendendo contatto con l’amministratore o l’assistenza clienti. In aggiunta si consiglia di ridurre al minimo l’uso dei captcha. Se la registrazione dell’utente sul sistema è già andata a buon fine, non dovrebbe avvenire nessun’altra verifica sotto forma di captcha.
Anche se i captcha oggi sono onnipresenti, i metodi basati sul test di Turing non sono l’unica possibilità di difendere un sito interattivo dallo spam. Già nel 2005, WAI con Working Group Note 23https://www.w3.org/TR/turingtestha sviluppato un catalogo di proposte per la prevenzione spam senza ricorrere ai captcha in un documento intitolato “Inaccessibility of CAPTCHA – Alternatives to Visual Turing Tests on the Web”. Con il tempo si sono affermati innumerevoli metodi per identificare richieste o input automatici.
Un’alternativa ampiamente diffusa al classico captcha, che si appoggia sulle analisi basate sul comportamento, è fornita ugualmente da Google. Sotto il nome di “No CAPTCHA reCaptcha” Google offre a partire dal 2013 un servizio di Human Verification che protegge dagli abusi le pagine web interattive in modo affidabile e nella maggior parte dei casi senza usare captcha.
Al posto di mettere davanti agli utenti un esercizio che si basa su relazioni visive, sonore o logiche, il nuovissimo reCAPTCHA di Google comprende solo un semplice check box.
Se un utente mette una spunta su “Non sono un robot”, il software verifica in background quanto sia probabile che si tratti di un input automatico. Così Google si basa su un rischio di analisi avanzato. Ma l’azienda non rivela quali passaggi comprenda questo algoritmo di verifica. In rete vengono però discussi i seguenti modi:
Se il software arriva alla conclusione che si tratti di un utente umano, allora il visitatore può proseguire senza ostacoli. Solo se il risultato dell’analisi lascia presagire un alto rischio di spam, allora deve essere risolto un captcha. No CAPTCHA è così un procedimento di verifica preesistente che valuta se sia necessaria una Human Verification tramite il test di Turing o se possa essere saltata. Ciò viene incontro all’utente in termini di usabilità, ma solleva questioni relative alla protezione dei dati personali.
I gestori dei siti che utilizzano il nuovo reCAPTCHA trasmettono a Google automaticamente i dati di movimento dei loro utenti. I visitatori devono perciò venire esplicitamente informati nell’informativa sulla privacy del fatto che software di terze parti vengono utilizzati come protezione contro lo spam.
Risulta anche strano che Google indichi per il nuovo reCAPTCHA le condizioni generali di utilizzo così come un’informativa sulla privacy globale, che viene utilizzata anche per tutti gli altri servizi di Google. Non è perciò da escludere che l’azienda impieghi i dati raccolti anche per l’ottimizzazione dei propri servizi (ad esempio per la pubblicità), al di là che per la prevenzione contro lo spam. Questa questione viene affrontata in un articolo del magazine online Business Insider. Sebbene il servizio di Google goda di una grande popolarità, la normativa sulla privacy fa capo a leggi americane, più blande rispetto a quelle europee.
Sulla pagina iniziale attuale del progetto reCaptcha (dati aggiornati a gennaio 2017) Google annuncia con Invisible reCAPTCHA uno sviluppo del No CAPTCHA reCAPTCHA che si presenta senza il check box interattivo.
In teoria Invisible reCAPTCHA funziona nel modo seguente: se un utente compila un modulo online, si svolgono in background diversi processi di analisi, su cui Google finora tace.
Chi naviga su Internet si sarà già chiesto qualche volta che cosa sia un bot. I bot sono programmi software automatici che eseguono ripetutamente compiti e comandi. Vengono utilizzati online per l’ottimizzazione per i motori di ricerca, nel marketing online, nella comunicazione con i clienti o per scopi illegali come il phishing e il malware. Scoprite come funziona un bot.
Offri ai tuoi clienti servizi professionali e affidabili con l'hosting di IONOS.
Scopri i pacchetti
Dominio omaggio per un anno