O que é Captcha, por que e como usar?

Muita gente os considera chatos e algumas pessoas nem mesmo sabem o porquê deles existirem e para que servem. Embora possa ser algo incômodo em termos de navegação dos visitantes, para um dono de site eles muitas vezes são essenciais. Estamos falando do captcha.

Se você é dono ou administrador de um site, tem formulários ou campo de cometários no seu site, mas não usa e não conhece bem esse importante recurso, é hora de conhecer e considerar seu uso.

O que significa Captcha?

Muita gente tem curiosidade em saber o significado de uma palavra tão diferente. Não é só um nome inventado ou imaginado. Captcha é um acrônimo referente a “Completely Automated Public Turing test to tell Computers and Humans Apart” e que em português, é “teste de Turing público totalmente automatizado para diferenciar computadores e humanos”.

O teste de Turing original – criado por Alan Turing – visava diferenciar um humano de um computador, por meio de um teste que tenta identificar se o respondente do teste é humano ou um sistema computacional.

A diferença essencial, é que no teste de Turing, ele é aplicado por uma pessoa para identificar qualquer forma de inteligência artificial simulando um humano e no captcha, o desafio é aplicado por uma máquina, que tenta assegurar que por trás da interação há um humano e por isso, é também chamado de teste de Turing reverso.

Mesmo não sendo o típico teste, o que importa é o objetivo por trás e que nos leva a outra pergunta…

O que é captcha?

Pode-se dizer que em linhas gerais, um captcha é um mecanismo de segurança digital com base em teste ou desafio que supostamente não pode ser resolvido por uma máquina e que comprova que existe uma interação humana.

Existem atualmente diferentes tipos de captcha e que essencialmente têm como objetivo evitar que alguma área sensível de um site ou recurso que ele ofereça, seja acessado por um robô de internet ou qualquer forma de programa que seja capaz de realizar ou automatizar ações normalmente realizadas por pessoas.

Com base nisso, os desafios de um captcha consistem em fazer com que o visitante do site digite palavras ou caracteres quaisquer que são exibidos, ou sejam marcadas partes de uma imagem ou de várias que contenham algum elemento (carro, moto, barco, ponte, semáforo, etc) para que possa avançar na ação, que pode ser o envio de um formulário de contato, ou o login em uma área reservada de um site.

Por que usar o captcha?

Um captcha é usado toda vez que se necessita aumentar a segurança de um site, quando há uma interação nele, contra ações mal intencionadas de terceiros que façam uso de robots de internet ou qualquer programa com igual objetivo.

É por essa razão que é comum captchas cujo respectivo texto aparece como “não sou um robô”.

Em boa parte dos casos, uma tentativa de invasão ou mesmo de identificar vulnerabilidades, não é feita por uma pessoa. Geralmente é usado algum tipo de script, programa ou até um código inserido em site invadido, que faz uma varredura em sites em busca de falhas conhecidas e ao identificá-las, elas podem ser exploradas.

Um robô de internet, é um programa que tem a capacidade de entre muitas coisas, preencher um formulário ou realizar cliques em botões, tal como um visitante legítimo.

A exploração pode ter como objetivo o envio de SPAM usando um formulário mal elaborado, ganhar acesso a uma área restrita ou realizar um ataque de SQL injection, por exemplo.

Boa parte dos captchas partem do princípio que um sistema computacional não é capaz de atuar como pessoas na resolução dos desafios propostos, de tal modo que impedem uma ação mal intencionada de ser concluída.

Portanto, um captcha tem como principal objetivo melhorar a segurança do site ou página em que é instalado.

Se você frequentemente recebe SPAM enviado pelo formulário de contato ou nos comentários do seu site, agora já sabe uma forma com bom grau de eficiência para filtrar ou mesmo eliminar esse tipo de incômodo.

Captchas são seguros?

Em muitos casos sim. No entanto, é preciso ter em mente que da mesma forma que outros recursos do site, envolve alguma programação, a qual assim como o restante do site, pode conter falhas ou não prever determinadas circunstâncias que novas tecnologias permitem.

Além disso, dependendo do tipo de captcha usado, existem técnicas que podem ser usadas pelo invasor e que visam contornar o mecanismo, como por exemplo, OCR (Optical Character Recognition) e que é a mesma tecnologia que permite que um documento submetido a um scanner, tenha os caracteres reconhecidos para uso em um editor de texto.

Inteligência artificial e machine learning também podem servir de recursos para tentar resolver os desafios apresentados, especialmente quando o banco de dados de imagens usadas é pequeno e não há outras medidas de restrição, como por exemplo, limitar a quantidade de tentativas e autenticação multi fator (MFA).

Mas como esse tipo de ataque é mais direcionado a sites cuja exploração pode ser mais rentável, como uma grande loja virtual ou o site de alguma grande empresa, ele é menos comum, tornando sua utilização mais segura para a maior parte dos sites.

Por outro lado, da mesma forma que tem aumentado a sofisticação das tentativas de vencer os captchas, a mesma inteligência artificial e aprendizado de máquina tem sido usado na produção de mecanismos de segurança também mais complexos e seguros.

Como usar o captcha no site?

O uso do captcha deve estar associado como camada adicional de proteção para algum tipo de acesso restrito e os formulários de contato, comentários ou cadastro de leads do site ou ainda qualquer recurso que considerar sensível quanto à segurança.

A sua adoção e como incorporar, vai variar muito e está intimamente relacionado com a plataforma usada para o desenvolvimento e gerenciamento do site.

Caso seu site seja baseado no Wordpress, há uma série de plugins por meio dos quais é possível adicionar a funcionalidade. Convém antes de instalar, pesquisar qual o tipo ele acrescenta, a popularidade, facilidade de configuração e se há atualizações frequentes.

Para sites baseados em outros CMSs, deve-se pesquisar a disponibilidade, sendo que os mais populares costumam também oferecer alternativas por meio de plugins, observando-se os mesmos aspectos que nos casos do WP.

Outras plataformas podem recorrer ao reCAPTCHA v2, v3 ou invisible reCAPTCHA. Todos são serviços gratuitos, embora exista a versão paga, chamada reCAPTCHA Enterprise e que é baseada na plataforma cloud.

A diferença entre a versão “normal” e a “invisível”, é que na segunda não há um desafio visível diferentemente do tradicional e que usa inteligência artificial e machine learning para identificar se o visitante é um ser humano real ou um robô. Não havendo elementos suficientes para a decisão, só então o desafio é exibido.

Conclusão

O captcha é um recurso que visa aumentar a segurança de um site por meio de um desafio para distinguir um visitante humano de um robô de internet.

Comentários ({{totalComentarios}})