30 marzo 2021
Captcha: cos'è, come funziona e perché serve al tuo sito
Il codice captcha trae origine dall'informatico Alan Turing, che nel 1950 elaborò l'omonima macchina a partire dall'assioma che un robot può essere in grado di imitare e automatizzare il comportamento umano. Da quel concetto, l'intelligenza artificiale ha fatto passi da gigante, tuttavia, la base fondamentale resta la stessa. Nonostante la macchina possa imitare l'uomo, c'è sempre almeno una caratteristica di fronte alla quale le macchine si trovano di fronte a difficoltà che non riescono a superare. È su questa difficoltà che lavoriamo quando progettiamo un sito, al fine di ottimizzare la sicurezza sia di chi lo gestisce, sia dei visitatori.
Captcha anti bot e anti spam
Una delle proccupazioni maggiori per un webmaster è quella di garantire la sicurezza e la protezione dei propri siti (o ecommerce) da utenti malintenzionati. Questi spesso utilizzano dei software per automatizzare i loro obiettivi illeciti, come rubare dati, password e informazioni, nonché "spammare" senza criterio. Un danno mastodontico per i visitatori, così come per il sito stesso, che verrà penalizzato dai motori di ricerca, con gravi conseguenze sul posizionamento.
Il codice captcha serve proprio a proteggere gli utenti dallo spam e dalle diverse automatizzazioni messe in atto dai bot. Questi servono agli hacker per realizzare attacchi di forza bruta, una metodologia attraverso la quale un software inserisce iterativamente le credenziali all'interno di un modulo di accesso, finché non riescono a entrare e prendere possesso di un account.
Gli stessi bot possono essere impiegati per uno spamming selvaggio nella sezione commenti, oppure nella vostra casella di posta, tramite il modulo contatti. Per questo, uno dei maggiori utilizzi del captcha è nella sezione contatti, onde evitare che un bot tempesti la nostra email con pubblicità ingannevole, aggressiva e pericolosa.
In sostanza, il captcha protegge il proprietario del sito, il sito stesso e i suoi visitatori da tutti quei software bot, worm, spambot, attacchi di forza bruta e attacchi a dizionario. Se gli attacchi di forza bruta provano tutte le combinazioni possibili, gli attacchi a dizionario sfruttano un dizionario di riferimento, contenente le password ritenute più probabili. Il captcha, riconoscendo l'assenza di un comportamento "da essere umano", impedisce l'accesso al bot. Un codice captcha anti bot e anti spam è quindi indispensabile per proteggersi da intrusioni indesiderate ed evitare un sito compromesso da penalizzazioni, con rischi consistenti anche per l'intero server.
Hai bisogno di informazioni su come ottimizzare il tuo sito?
Codice captcha: dove inserirlo?
Il codice captcha deve essere inserito in diverse sezioni del sito, dove è richiesto l'input dell'utente:
- form di contatto
- blog dove gli utenti possono commentare
- form di registrazione
- form di recupero password.
- Google reCaptcha, un anti bot e anti spam che tiene lontani i software pericolosi. Essendo un reCaptcha, è in grado anche di apprendere automaticamente il comportamento umano e bot tipico sul sito web.
- Advanced noCaptcha e Invisible Captcha: viene inserito un captcha nei commenti, nella pagina di registrazione o di login o nella pagina di reimpostazione della password. Offre la possibilità di mostrare o nascondere il captcha a utenti loggati.
Algoritmi a prova di robot
Nel corso degli anni, sono stati sviluppati diversi algoritmi che stanno alla base dei captcha antibot, con diverse difficoltà di superamento. Oggi si utilizzano spesso i reCaptcha, ma anche quelli basati sulle immagini sono considerati discretamente affidabili.
- I captcha di testo, utilizzati già nei primi anni duemila, sono la tipologia di test di verifica più antica. Una sequenza di parole viene distorta, così l'utente, per dimostrare di essere umano, deve essere in grado di leggere la parola nel riquadro e inserirla nell'apposito campo testuale. Questi captcha sono tutt'altro che sicuri. Possono essere considerati affidabili quando la parola è talmente trasfigurata che anche un essere umano farebbe fatica a leggerla. Nel 2017 l'azienda californiana Vicarious, specializzata nello sviluppo dell'intelligenza artificiale, ha realizzato un algoritmo RCN (Recursive Cortical Network), in grado di risolvere un captcha come se fosse un umano. In che modo? Alcuni algoritmi riescono a convertire la casella contenente il testo da inserire in una scala di grigi, poi rimuovono la distorsione e la trasfigurazione creata dagli artefatti di colore. Solo successivamente si focalizzano su determinati schemi e li incrociano con lettere e numeri.
- Captcha grafici: una volta che la difficoltà di decifrare i captcha testuali è diventata pressoché nulla per i bot, sono stati introdotti i captcha grafici, basati sulle immagini. La versione più semplice di questa tipologia è quella in cui viene richiesto al visitatore di scegliere l'immagine che rappresenta una determinata parola. Non ci sono elementi "disturbanti" all'interno dell'immagine, né l'oggetto in questione viene inserito in un contesto più ampio. È presente esclusivamente la rappresentazione grafica del testo. Esiste, tuttavia, una versione più complessa del captcha grafico, che invita l'utente a riconoscere l'oggetto in una rappresentazione più articolata ed eterogenea. I più frequenti sono semafori e cartelli in una strada trafficata. Fino a qualche anno fa i captcha basati su immagini sembravano inviolabili. Con l'avvento del Deep Learning, tuttavia, alcuni sviluppatori sono riusciti a oltrepassare quello che è tutt'oggi il test di verifica più sicuro in rete. L'intelligenza artificiale non riesce a comprendere il significato delle immagini, ma è in grado di ricordarsi la rappresentazione. Dalla memorizzazione di centinaia di fotografie ogni giorno, confronta se un captcha è simile o uguale a quelli che già conosce e fornisce una risposta.
- Captcha logici e matematici. Un'evoluzione dei test di verifica testuali è quella basata su quesiti matematici semplici. Un cambiamento che però non ha portato a grandi migliorie in termini di difficoltà per i bot, che riuscivano a inserire correttamente il risultato. Un passo in avanti c'è stato quando questo sistema venne modificato per introdurre la soluzione obbligatoriamente scritta in lettere oppure quesiti logici banali per gli umani, ma complicati per i bot: ad esempio "il colore del cavallo bianco di Napoleone".
Attenzione all'usabilità e all'accessibilità del sito
Uno dei problemi che possono sussistere quando si implementa un captcha all'interno del nostro sito, è che il quesito richiesto risulti eccessivamente complesso da risolvere non solo per i robot, ma anche per l'essere umano. Quando si progetta un sito web, è importante valutare anche l'usabilità, per questo deve essere il più possibile user-friendly. Un utente che deve richiedere informazioni tramite il modulo contatti e si ritrova a dover risolvere un captcha troppo difficile, potrebbe desistere dal farlo e abbandonare il sito. In questo modo, il captcha sarebbe controproducente in ottica SEO e soprattutto disastroso in termini di conversione. Per questo è di importanza vitale scegliere il codice captcha in modo corretto.
Alcuni consigli sull'implementazione di un captcha che non "danneggi" l'usabilità del sito:
- È consigliato agli sviluppatori e gestori di siti web di aggiungere ai captcha un testo in cui si spiega il funzionamento del test, al fine di consentire agli umani di superarlo senza troppi problemi.
- L'utente dovrebbe avere la possibilità di saltare captcha eccessivamente complicati e accedere a test più semplici.
- È bene non fare un uso eccessivo dei captcha: se l'utente ha già effettuato la registrazione, si può omettere un'ulteriore verifica.
L'utente medio su internet non ha pazienza: vuole completare un'azione nel minor tempo possibile e senza troppe difficoltà. È fondamentale, quindi, trovare il giusto equilibrio tra sicurezza e usabilità del sito, quando si inseriscono i captcha anti bot e anti spam. Usabilità, user-experience e accessibilità sono fattori determinanti in ottica SEO e sulla web performance, che tiene conto di diversi parametri, tra cui appunto la facilità con cui l'utente riesce a portare a termine i propri obiettivi di navigazione.
Per questo motivo, oltre ad essere responsive e con un buon livello di user-experience, il sito deve essere accessibile a tutti, a prescindere dal device che si utilizza, dalle competenze informatiche, ma anche da persone con disabilità. Quando si implementa un captcha, quindi, si deve tener conto anche degli utenti ipovedenti. Nell'ottica di una maggiore accessibilità, ai più comuni test grafici e testuali, sono abbinati i captcha sonori, sotto forma di registrazioni audio, che possono essere ascoltati comodamente dall'utente. Questo non farà altro che inserire nell'apposito campo la sequenza numerica pronunciata dalla voce registrata. I suoni, ancor più delle immagini, costituiscono degli ottimi anti bot e anti spam e proteggono dai diversi attacchi di forza bruta. Esistono delle vere e proprie linee guida, elaborate dal World Wide Web Consortium (W3C) sull'accessibilità dei contenuti web.
Google Recaptcha: la soluzione più sicura
Come abbiamo accennato, in precedenza, Google ha fornito una soluzione user-friendly per la verifica: Google reCaptcha v3. Questa versione, a differenza delle precedenti, non si basa né su testi storti, come la prima versione, né su immagini, come la seconda. Nella terza versione, il codice captcha traccia tutte le attività dell'utente sul sito e gli assegna un determinato punteggio di probabilità. In base al punteggio assegnato, il sistema valuta se consentire l'accesso, oppure sottoporre all'utente un'ulteriore verifica. Nella maggiorparte dei casi è sufficiente spuntare il riquadro "Non sono un robot" per superare il test, in altri casi si prevede un secondo test basato sulle immagini.
Il reCaptcha si differenzia dal Captcha, per il fatto che quest'ultimo si basa su una combinazione casuale, mentre il reCaptcha è formato da parole e immagini ben precise che i bot non sono stati in grado di decifrare in passato. Un altro reCaptcha sviluppato da Google e ancora più avanzato è l'Invisible reCaptcha. Questo distingue l'essere umano dal bot grazie all'analisi di movimenti del mouse e indirizzo IP. Il captcha basato su immagini subentrerebbe quando Google ravvisa delle azioni sospette sul sito.
Il vantaggio del reCaptcha di Google è sicuramente un'usabilità e un'accessibilità al limite della perfezione, con tutte le conseguenze a livello di posizionamento e di conversioni che abbiamo già detto. Lo svantaggio riguarda la privacy: diamo un ulteriore possibilità a Google di monitorare le nostre attività e i nostri comportamenti online. Ne vale la pena? Valutazioni che in sede di progettazione di un sito è indispensabile prendere in considerazione.