Je kent het wel. Je wilt je aanmelden voor een evenement, of reageren op een bericht … en dan krijg je zo’n vervelende Captcha voor je neus  😥 

Een Captcha schrikt niet alleen de boosaardige spambots af. Tekeningen: Karen Nijst

Maar ja, wat wil je? Zonder een Captcha loopt de eigenaar van een website het risico te worden overspoeld met spam. Een Captcha moet dit voorkomen, want daarmee kan de bezoeker aantonen dat hij een mens is en geen spambot.
Helaas worden de spambots steeds ‘slimmer’.

Wat is een spambot eigenlijk?

Een spambot is een stukje software dat automatisch websites afstruint om spam te plaatsen in reacties, formulieren of fora. Vaak zijn dit commerciële berichten. Het kost immers bijna niets om miljoenen berichten te versturen.

Kortom: een spambot zorgt ervoor dat in korte tijd –automatisch- veel sites ‘bezocht’ worden, waarbij een ongewenste boodschap wordt achtergelaten.

Waarom spammen spammers?

Waarom een Captcha?

Een Captcha moet dus voorkomen dat de bot slaagt in zijn missie, omdat men ervan uitgaat dat alleen een gebruiker van vlees en bloed die onduidelijke code -vaak verwerkt in een plaatje- kan lezen.

Maar die vlieger gaat niet meer op.

Waarom werken Captcha’s werken niet meer goed?

Traditionele Captcha’s vertrouwen op het idee dat alleen mensen bepaalde visuele puzzels kunnen oplossen. Maar moderne technieken zoals OCR (optische tekenherkenning) en AI maken dat bots inmiddels net zo goed – of beter – kunnen scoren op Captcha’s dan mensen. Google toonde al aan dat sommige bots een slagingskans hebben van 99,8%.

Daarnaast gebruiken spammers ook ‘human farms’: goedkope arbeidskrachten die handmatig Captcha’s oplossen.

Het gevolg? Captcha’s worden steeds moeilijker te ontcijferen, óók voor echte gebruikers. Inmiddels haakt meer dan 4% van de bezoekers af vanwege frustratie met Captcha’s. En dat wil je als website-eigenaar natuurlijk voorkomen.

Google’s No-Captcha en recaptcha v3

Google heeft inmiddels een gebruiksvriendelijk alternatief ontwikkeld: de No-Captcha (of recaptcha v2). Bij deze oplossing hoef je alleen het vakje “Ik ben geen robot” aan te vinken.

De algoritmes van Google analyseren je gedrag op de pagina, zoals je muisbewegingen en tijd die je op de site doorbrengt, om te bepalen of je een mens bent.

Maar dat is niet alles. Sindsdien heeft Google ook recaptcha v3 geïntroduceerd. Deze werkt volledig op de achtergrond, zonder dat de gebruiker iets hoeft te doen. Het systeem geeft een “score” op basis van gebruikersgedrag en bepaalt daarmee of er sprake is van een bot.

Toch blijft er een kleine kans dat je alsnog een puzzel voorgeschoteld krijgt, vooral als je gedrag lijkt op dat van een bot. Dus, probeer je menselijk te gedragen. 😉

Hoe weet Google dat je een mens bent en geen robot (spambot)?

Google analyseert allerlei gedragspatronen op de achtergrond: muisbewegingen, klikgedrag, tijd op de pagina, en meer. De exacte werking is niet openbaar – het is onderdeel van hun algoritmes. Maar hoe geavanceerd ook, deze techniek blijft afhankelijk van aannames en patronen. Naarmate bots menselijker gedrag gaan vertonen, wordt ook deze aanpak minder betrouwbaar.

Privacyproblemen en wettelijke bezwaren

In de EU is het gebruik van reCAPTCHA v3 alleen toegestaan als je vooraf toestemming vraagt. De tool valt namelijk niet onder ‘strikt noodzakelijke cookies’, en dat betekent: cookie-banner verplicht.

Gebruik je reCAPTCHA zonder toestemming? Dan overtreed je de AVG, met mogelijk forse boetes als gevolg.

Bovendien: waarom Google op elke pagina toegang geven tot het gedrag van je bezoekers, als het niet strikt nodig is?

Alleen inzetten waar het moet

Gebruik Captcha’s en soortgelijke technieken alleen op pagina’s waar spam een reëel risico is, zoals:

• Contactformulieren
• Reactievelden op blogs
• Wachtwoord reset formulieren
• Inlogpagina’s

Gebruik ze NOOIT sitebreed – dat is onnodig en privacytechnisch onwenselijk.

Wat zijn de alternatieven?

Hoewel Google’s oplossingen populair zijn, zijn er ook andere technieken die minder opdringerig zijn voor gebruikers:

• Honeypot-technieken: Onzichtbare velden die alleen bots invullen, waardoor ze automatisch worden gedetecteerd.
• Tijdgebaseerde validatie: Controleer of een formulier in een realistische tijd is ingevuld. Te snel? Waarschijnlijk een bot.
• Plugin-oplossingen: Tools zoals Akismet of CleanTalk detecteren spam zonder dat gebruikers hier hinder van ondervinden.
• Privacyvriendelijke Captcha’s
  Diensten als Friendly Captcha of hCaptcha verzamelen geen of veel minder gegevens en respecteren de privacywetgeving beter dan Google’s oplossingen.

Zijn we ooit definitief verlost van al die spam (via onze site) ?

Voorlopig niet. Naarmate bots menselijk gedrag beter nadoen en AI sneller evolueert, blijft het een kat-en-muisspel. Zoals je hier kunt lezen, staan zelfs ‘onzichtbare’ tools zoals reCAPTCHA v3 staan onder druk. De uitdaging is dus niet om spam volledig te stoppen, maar om het beheersbaar te houden zónder je bezoekers onnodig te frustreren of hun privacy te schenden.

Meer weten?
Wil jij ook gebruik maken van Google ‘No-Captcha’ op jouw site? 

• Via deze link kun je de codes opvragen waarmee je de No-Captcha kunt activeren.
• Hier lees je hoe je het toepast in de plugin van ContactForm 7
• Voor developers =>
• No Captcha gebruiken bij de comments en login, zonder WordPress plugin?

***Optical character recognition (OCR), of in het Nederlands: optische tekenherkenning is een transformatie waarbij uit een afbeelding van een tekst door middel van patroonherkenning alle tekens uit de afbeelding als zodanig worden herkend en apart opgeslagen door een computer(programma). Oftewel, de tekst uit een afbeelding wordt omgezet in bewerkbare tekst. Een voorbeeld hiervan is Automatische kentekenplaatherkenning.

Gebruik van zg ‘Human farms’
De blog ‘Now I Know‘ legt uit hoe professionele spammers de Captcha’s trachten te omzeilen, door goedkope arbeidskrachten uit India, Bangladesh, China en andere ontwikkelingslanden in te huren. Zij besteden enkele uren per dag om Captcha’s op te lossen en spam manueel te verspreiden.