Voorkom spam met een CAPTCHA
In dit artikel leg ik uit wat een CAPTCHA is, hoe het helpt om spam of misbruik van jouw webformulier te voorkomen, welke varianten er zijn, hoe je een CAPTCHA installeert en of er andere opties zijn om je formulieren te beschermen.
Heb jij last van spam via een van je webformulieren? Met je website streef je juist conversie na. Een bezoeker kan contact opnemen, een product bestellen, iets downloaden in ruil voor het achterlaten van informatie. Niets is vervelender dan het ontvangen van door spammers ingevulde formulieren. Dit is te voorkomen met het plaatsen van een CAPTCHA (spreek uit als kèptja). De gedachte hierachter is dat computers meer moeite hebben met ‘algemene’ antwoorden. Specifieke vragen zoals: welke kleur heeft een tomaat zijn eenvoudig door computers te beantwoorden als gevolg van machine learning (dit is het herkennen van patronen).
Wat is een CAPTCHA?
Een CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) is een test waarmee gekeken kan worden of de bezoeker van jouw website een geautomatiseerde bot is of een werkelijk persoon. Het is een test die voor een mens eenvoudig uit te voeren is, maar juist moeilijk voor een computer om te volbrengen.
Geautomatiseerde bots kunnen worden ingezet om veel accounts aan te maken om in het ergste geval uiteindelijk een DDos-aanval uit te voeren via jouw website. Mocht je een dienst op je website hebben waarmee berichten verzonden kunnen worden, dan zou op deze manier ook spam via jouw website/platform verzonden kunnen worden. Dit is waarschijnlijk iets dat je koste wat kost wilt voorkomen omdat jij (jouw IP adres) op dat moment als verspreider van spam wordt gezien en op een zogenaamde blacklist komt te staan. Om hier weer vanaf te komen moet je zorgen dat het verzenden van de spam via jouw website gestopt is. Vervolgens kun je via jouw hostingprovider vragen om een verzoek in te dienen om van de blacklist verwijderd te worden.
Wat voor CAPTCHAs zijn er?
Er zijn diverse varianten bekend waarvan de een wat meer gebruikt wordt dan de ander en waarbij de ene versie meer frustratie oproept dan de ander. Ondanks dat de oplossingen simpel moeten zijn blijkt dat in sommige gevallen bezoekers de CAPTCHA niet kunnen ‘oplossen’. Hieronder zie je een overzicht van veel gebruikte CAPTCHAs:
- de tekstuele CAPTCHA: een letterreeks die als plaatje wordt aangeboden moet overgetypt worden. Door de ontwikkeling op het gebied van kunstmatige intelligentie en machine learning zijn onbewerkte letterreeksen snel opgelost door bots en dus niet heel veilig.
- Daaropvolgend is de vervormde letterreeks ontstaan, waarbij de letters (en cijfers + leestekens) vervormd worden weergegeven. Meest bekend (en gevreesd) zijn de vervormde letterreeksen, waarbij je een gekantelde ‘x’ voor een ‘+’ aan kunt zien of het onderscheid tussen de hoofdletter ‘I’ en de kleine ‘l’ niet herkenbaar is. Door de extreme vervorming zijn de tekens soms zo slecht herkenbaar dat de oplossing niet te geven is.
- De reken CAPTCHA: hierbij moet een eenvoudige som opgelost worden. Bijvoorbeeld 4+3. Soms moet het antwoord juist weer in uitgeschreven (antwoord = ‘zeven’) cijfers ingevuld worden om machines te slim af te zijn.
- De beeld CAPTCHA: hierbij moet de bezoeker van de website omschrijven wat hij/zij op de foto ziet.
- De beeldpuzzel CAPTCHA: hierbij is een foto in stukken verdeeld en moet je de stukken aanklikken waar een verkeersbord, mens of bijvoorbeeld etalage op staat.
- De audio CAPTCHA: Dat wat je hoort of de oplossing van de vraag moet je invoeren als oplossing.
- De gamification-CAPTCHA: Er moet op een ‘speelse wijze’ een afbeelding worden verschoven of bijvoorbeeld punten met elkaar verbonden worden.
- De Google reCAPTCHA v3 is een ‘onzichtbare’ oplossing met z’n eigen voor- en nadelen. Deze variant wordt ook wel nonCAPTCHA of ghostCAPTCHA genoemd.
Na het succesvol oplossen van deze test is de bezoeker ingelogd of kan het formulier verzonden worden.
Regels voor CAPTCHAs
De Web Content Accessibility Guidelines (WCAG) van het Web Accessibility Initiative (WAI), benoemen de volgende punten als minimumeisen voor een goed toegankelijke CAPTCHA:
- Er moet bij visuele CAPTCHAs een tekstuele uitleg staan wat er verwacht wordt.
- Er moeten gelijkwaardige alternatieven beschikbaar zijn die rekening houden met verschillende soorten beperkingen.
Daarnaast gelden nog de volgende eisen in verband met een toegankelijk internet:
- Je moet de mogelijkheid hebben na een foute invoering opnieuw een CAPTCHA op te lossen.
- Voor visueel gehandicapten moet er een mogelijkheid zijn via audio of tekstherkenning de CAPTCHA op te lossen.
Google reCAPTCHA
Google biedt al een tijd de (re)CAPTCHA aan (voorbeeld 8 uit bovenstaande afbeelding). Dit is een gratis dienst waarmee jij je formulieren kunt beveiligen. Deze dienst is een technologisch hoogstandje waar sommigen wellicht hun bedenkingen bij hebben. Bij CAPTCHA v1 van Google werd er gevraagd of je kon omschrijven wat er op het plaatje stond. Er werd ons gevraagd om op de opgesplitste afbeelding bepaalde delen aan te klikken (voorbeeld 5 uit bovenstaande afbeelding). Hiermee hebben we met z’n allen Google van extra informatie voorzien. Deze eerste versie werd niet door iedereen als gebruiksvriendelijk bestempeld.
Bij versie twee (voorbeeld 8 uit bovenstaande afbeelding die reCAPTCHA werd gedoopt) werd ons gevraagd om slechts een vinkje te zetten in een checkbox om aan te geven dat we geen robot zijn. Hiermee analyseert Google ons gedrag als mens door het analyseren van het klikgedrag. Zodra Google vreemd gedrag waarneemt wordt alsnog een visuele test uitgeserveerd. Het zetten van het vinkje is in principe het enige obstakel.
reCAPTCHA v3
reCAPTCHA v3 gaat een stap verder en analyseert jouw ‘vingerafdruk’ op het gebied van muis- en klikgedrag en weet daardoor of je een mens of machine bent. Voordeel aan deze vorm is dat je niet meer op een plaatje hoeft te klikken, antwoord hoeft te geven of een vinkje hoeft te zetten. Je ziet slechts een melding dat het formulier beschermd is met reCAPTCHA.
Het lijkt er nu wel op dat Google Chrome minder tests uitserveert. Hierdoor kan wellicht de conclusie getrokken worden dat Google (via de Chrome-browser) voortdurend jouw klikgedrag op jouw computer bijhoudt. Meer informatie hierover is te horen in de podcast van BNR radio ‘CAPTCHA-frustraties‘. Of dat erg is? We hebben met z’n allen Google al zo intelligent gemaakt dat we gebruik kunnen maken van reCAPTCHA v3 waardoor er minder ’tests’ uitgeserveerd worden. En de frustratie een stuk minder is.
De strijd tegen spam is bij Google continu gaande. Bill Gates voorspelde in 2004 in een BBC interview dat spam door e-mail in twee jaar tijd tot het verleden zou behoren, wat helaas niet gelukt is. En dat zou meteen een reden kunnen zijn om juist wel voor de dienst van Google te kiezen en de meest up-to-date dienst te blijven gebruiken.
Hoe installeer je een CAPTCHA?
Is het formulier gemaakt met Gravity Forms of Contact Form 7? Lees dan dit artikel om reCAPTCHA v3 toe te voegen aan je formulier.
Je kunt boven de verzendknop van jouw webformulier een door jou gewenste CAPTCHA plaatsen. Afhankelijk van het CMS van je website en de gekozen template kun je gebruik maken van de ingebouwde CAPTCHA dienst of juist voor een externe plugin kiezen. Via een zoekopdracht op CAPTCHAs op WordPress.org of extensions.joomla.org krijg je een overzicht van WordPress plugins of Joomla!extensies. Op WP Lounge staat ook een overzicht van Anti-Spam plugins.
Liever geen CAPTCHA?
Wil je je bezoekers niet afschrikken met een CAPTCHA of heb je andere bezwaren? Je kunt bezoekers ook vragen om hun e-mailadres te valideren voor ze verder kunnen. Dit wordt ook wel Human Intervention genoemd. Dit vergt wat meer tijd en een extra handeling, maar dan ben je niet afhankelijk van grote jongens als Google. En voor de bezoeker is het dan wel een must om de bevestigings e-mail snel te ontvangen. Anders is de kans groot dat ze alsnog afhaken. Naast deze methode wordt er door web ontwikkelaars ook gewerkt met bijvoorbeeld de ‘Honey pot’ methode, het checken van de invultijd (robots vullen vele malen sneller in dan mensen) en het aanmelden via social media accounts.
De ideale methode?
Al met al heeft iedere vorm voor het tegenhouden van spam zijn voor- en nadelen. Of we ooit een gebruiksvriendelijke manier vinden waar iedereen mee kan leven en we 100% van spam verlost zijn? Ik vraag het me af. Tot die tijd zullen we met een van de genoemde oplossingen ons zelf moeten beschermen.
Wil je meer weten?
Wil je meer weten over het voorkomen van spam in e-mail? Kijk dan eens bij onze support artikelen over de Antispam en Antivirus service van SQR.NL. Of lees het blog Je e-mail afgeleverd, maar dan écht.
Succes met het kiezen van de juiste oplossing voor jouw website bezoekers en het voorkomen van spam in je mailbox!