O que é CAPTCHA e reCAPTCHA?
Por André Lourenti Magalhães • Editado por Bruno Salutes |
Você já deve ter passado pela experiência de digitar um código com letras e números, escolher imagens de um mesmo tema ou marcar que não é um robô para completar o seu login em um site. Essas ações fazem parte do CAPTCHA e do reCAPTCHA, duas medidas de segurança digital muito comuns para validar acessos e impedir ataques de bots com a sua senha. A seguir, saiba mais sobre esses dois processos!
O que é CAPTCHA?
CAPTCHA é uma sigla para "Completely Automated Public Turing test to tell Computers and Humans Apart", ou "Teste de Turing público completamente automatizado para diferenciar computadores de humanos", em tradução livre. Idealizado por Luis von Ahn, Manuel Blum, Nicholas J. Hopper e John Langford no ano 2000, esse teste é utilizado para determinar se um acesso está sendo feito por humanos ou por algum bot que tenta utilizar senhas vazadas e combinações aleatórias.
A versão original do CAPTCHA utiliza uma combinação distorcida de letras e números e exige que o usuário digite os termos corretamente para autenticar a solicitação em um site. Existem, também, recursos de acessibilidade para ouvir a descrição de cada dígito. Essa simples distorção dos caracteres dificulta a leitura por bots e contribuiu para reduzir o número de contas de spam criadas por computadores.
O que é reCAPTCHA?
Em 2007, uma nova adaptação do CAPTCHA foi introduzida, chamada de reCAPTCHA. O funcionamento é muito parecido, mas expandiu o uso dos textos e palavras. Com uso de aprendizado de máquina, o sistema original conseguia identificar uma quantidade maior de letras distorcidas e passou a incluir palavras aleatórias de jornais e livros antigos na caixa de testes.
Dessa forma, além de autenticar acessos, o serviço também foi utilizado para digitalizar edições antigas do New York Times. O Google adquiriu o reCAPTCHA em 2009 e passou a usar a tecnologia para também digitalizar edições no Google Books. A identificação de texto foi rapidamente compreendida pelo sistema e tornou-se mais vulnerável para bots. Foi necessário variar o formato das autenticações para continuar com o controle de acesso.
Após algumas mudanças, o reCAPTCHA passou a introduzir o reconhecimento de imagens para validar os acessos, em um formato muito utilizado até hoje. A caixa do teste exibe uma grade com 9 a 16 imagens diferentes e solicita que os usuários selecionem todas as fotos com um elemento comum para continuar. Normalmente, são usados semáforos, placas de trânsito e veículos para a verificação.
reCAPTCHa v2
Em 2014, foi lançado o reCAPTCHA v2. Essa atualização permitia autenticar o seu acesso em um só clique, ao marcar a informação "Não sou um robô". Por não exigir um teste de identificação, esse processo também foi chamado de "No CAPTCHA reCAPTCHA" ("reCAPTCHA sem CAPTCHA", em tradução livre).
A tecnologia funciona em segundo plano durante o carregamento das páginas e identifica tendências de comportamento para identificar o risco de ser um humano ou bot. Nesse cenário, considera fatores como tempo de tela, região dos cliques e outras informações para determinar a probabilidade. Caso a análise resulte em risco baixo, é necessário apenas validar a primeira caixa.
Alguns casos são inconclusivos nessa etapa, portanto o sistema solicita uma segunda verificação, dessa vez com o uso de imagens — não se preocupe, você não está virando um robô. Há, também, a possibilidade de inserir um selo invisível do reCAPTCHA no site, ativado ao clicar em algum botão específico configurado na página.
reCAPTCHA v3 e reCAPTCHA Enterprises
A terceira versão do reCAPTCHA foi lançada pelo Google em 2018 com uma grande vantagem: o processo de validação não exige nenhuma interação do usuário. Para isso, durante toda a navegação na página, o sistema realiza diversos testes automáticos de CAPTCHA e fornece uma pontuação para cada acesso. Pontuações baixas significam um alto risco de presença de bots e, consequentemente, mais ações de verificação são solicitadas.
Em 2020, foi lançado o reCAPTCHA Enterprises, indicado para empresas e com planos pagos para sites com mais de 1 milhão de chamadas de validação por mês. A versão mais recente possui uma integração ainda maior com o Google Cloud e oferece uma experiência personalizável para a administração dos sites, com a alteração dos fatores de risco conforme verificações de duas etapas e outros fatores específicos.
Fonte: Candid Technology, Google Blog, Google Developers, Google Security Blog, Vox