Goed nieuws: captcha's zijn binnenkort verleden tijd

De captcha heeft zijn langste tijd gehad. De mini-quizjes om mensen van robots te onderscheiden zijn niet effectief meer. Gelukkig zijn de alternatieven vrijwel onzichtbaar in gebruik.

Captcha's zijn er in allerlei vormen en maten. Bijvoorbeeld: type slecht leesbare woorden over, los een simpele rekensom op, klik op een plaatje alle lantaarnpalen aan – we kennen het riedeltje. En jarenlang waren captcha's een redelijk makkelijke, snelle manier om mensen van bots te onderscheiden.

Inmiddels zijn die bots slimmer geworden, de captcha's stukken moeilijker. Bovendien werken ze niet meer: ChatGPT kan bijvoorbeeld captcha's oplossen, al is het ingesteld om dat niet te doen. Met een beetje aanmoediging doet ChatGPT het alsnog, door zelfs een mens in te huren voor het oplossen van een captcha. En er zijn zelfs enorme clickfarms die captcha's invullen, zodat ze ook steeds waardelozer worden als controle van menselijkheid.

Dat is op zich niet verrassend: met een deel van de captcha's hebben wij als publiek jarenlang AI getraind, zonder het te merken. Elk woord dat wij intypen, helpt AI om beter te lezen. Elke fiets, stoplicht en zebrapad die wij aanklikken, helpt AI de omgeving beter te begrijpen.

Tijdverspilling bijna voorbij

Door dat kat-en-muisspel tussen captcha en slimme software, zijn de captcha's steeds moeilijker geworden. Inmiddels doen mensen gemiddeld 25 seconden over het oplossen van een captcha, zegt het bekende internetbedrijf Cloudflare. "Captcha's zijn al een hele tijd kapot", zegt technisch topman van CloudFlare John Graham-Cumming tegen de Washington Post. "Ze zijn een ontzettende tijdverspilling."

Gelukkig is er licht aan het eind van de tunnel. Er zijn nieuwe manieren om te ontdekken of de gebruiker van een site of app een mens is of niet. Daarbij kijken bedrijven als Apple, Google en Cloudflare achter de schermen naar meerdere factoren die uniek menselijk zijn.

Mensen bewegen op een andere manier met hun muis dan wanneer een bot de muis aanstuurt, we scrollen anders over touchscreens. En er zijn ook accounts: wie is ingelogd op een met tweestapsverificatie beveiligd Apple- of Google-account is minder waarschijnlijk een bot.

Als mens automatisch toegang

Achter de schermen wordt een soort risico-analyse gemaakt, volgens de standaard privacy pass, die naast Apple en Google ook wordt gebruikt door onder meer Cloudflare en Fastly.

Het fijne van die technologie is, dat je er waarschijnlijk niks van merkt. Waar je normaal een captcha-controle zou krijgen, krijg je voortaan gewoon toegang tot de site of app. Je bent immers een mens, en dat is achter de schermen vastgesteld. Ticketmaster heeft een eigen systeem, en wil tegenover The Washington Post niet op details ingaan, om doorverkopers van tickets niet wijzer te maken.

De privacy pass-technologie is nog wel redelijk nieuw, en wordt nog niet door alle sites ondersteund. Dat worden er de komende tijd vermoedelijk wel meer, maar het zal nog even duren voordat je nooit meer een captcha ziet. Vooral als je een VPN gebruikt, zal je nog vaak gecontroleerd worden. Een wisselend IP-adres is één van de eerste aanwijzingen van een bot.

Luister ook onze podcast: