Капча: как она защищает сайты от ботов

• Что такое CAPTCHA
• История появления капчи
• Зачем нужна капча на сайтах
• Основные виды CAPTCHA
• Как работает капча
• От каких угроз защищает CAPTCHA
• Плюсы и минусы использования капчи
• Как правильно внедрить капчу на сайт

CAPTCHA — это механизм проверки, который помогает сайту отличить человека от программы-бота. Само слово в английском языке расшифровывается как Completely Automated Public Turing test to tell Computers and Humans Apart — полностью автоматический публичный тест Тьюринга для различения компьютеров и людей.

Проще говоря, капча — это небольшое задание. Нужно, например, ввести символы с картинки, выбрать изображения с автобусами, поставить галочку «Я не робот» или прослушать аудио и повторить цифры. Человек с таким справляется за несколько секунд. Для автоматического скрипта задача оказывается сложной.

Освоить фронтенд-разработку и научиться создавать сайты можно на курсе «Фронтенд-разработчик» — с нуля за десять месяцев. Студенты создают проекты для портфолио и решают более 500 задач, которые повторяют реальные рабочие условия. В конце получают помощь с поиском работы на период до семи месяцев после выпуска.

Первые массовые решения появились в начале 2000-х. Термин CAPTCHA предложили исследователи из Университета Карнеги — Меллона. Идея была простой: использовать задачи, которые людям даются легко, а алгоритмам — сложно.

Одной из первых популярных реализаций стала система от компании Yahoo!. Она защищала формы регистрации от автоматических аккаунтов. Позже появились более продвинутые решения, например reCAPTCHA от Google. Интересно, что ранняя версия reCAPTCHA использовалась не только для защиты сайтов, но и для оцифровки книг: пользователи помогали распознавать слова, которые плохо читались при сканировании.

Капча нужна, чтобы ограничить автоматические действия там, где они вредят бизнесу, безопасности или инфраструктуре. Рассмотрим несколько ситуаций.

• Защита форм от спама. Любая открытая форма — это точка входа для ботов. Без капчи сайт может получать сотни рекламных сообщений в комментариях, фальшивые заявки или даже вредоносные ссылки.
• Предотвращение фейковых регистраций. Если регистрация не защищена, боты могут массово создавать аккаунты. Из-за этого засоряется база пользователей, искажается аналитика и растёт риск использования аккаунтов для мошенничества.
• Защита от перебора паролей. Автоматический перебор — частый вариант атаки на формы входа. Капча после нескольких неудачных попыток входа резко усложняет задачу злоумышленнику и снижает нагрузку на сервер.
• Снижение нагрузки на инфраструктуру. Даже если бот не взламывает сайт, он может создавать тысячи запросов в минуту. Это перегружает сервер и может приводить к сбоям.

• Текстовая CAPTCHA. Пользователь вводит символы с искажённой картинки. Это классический формат, когда буквы наклонены, перекрываются линиями, фон зашумлён. Реализовать такую капчу просто. Но у неё есть минусы: плохо читается, раздражает пользователей. К тому же современные алгоритмы распознавания часто обходят такую защиту.
• Графическая CAPTCHA. Пользователь выбирает изображения с определёнными объектами: автобусами, витринами, пешеходными переходами, велосипедами. Этот формат более понятен человеку, чем искажённый текст.
• Чекбокс «Я не робот». Пользователь ставит галочку, а система анализирует поведение: движение мыши, скорость кликов, историю взаимодействий. Если поведение кажется подозрительным, появляется дополнительное задание.
• АудиоCAPTCHA. Предлагает прослушать запись и ввести услышанные символы. Используется как альтернатива для людей с нарушениями зрения.

Суть капчи в том, чтобы создать задачу, которую человеку решить легко, а программе — сложно или дорого. Но это не просто картинка с символами. Рассмотрим подробнее, как работает капча.

1. Генерация проверки. Когда пользователь открывает страницу с формой, на стороне клиента подключается скрипт капчи. Система подготавливает задание или включает поведенческий анализ. Затем создаётся уникальный токен сессии. Если это классическая капча, пользователь видит задание: например, нужно ввести символы, выбрать изображения. Если поведенческая — пользователь может вообще ничего не заметить.
2. Действие пользователя. При отправке формы пользователь вводит ответ или просто нажимает кнопку. Скрипт отправляет результат проверки вместе с формой. Далее формируется специальный токен подтверждения. Он доказывает серверу, что проверка действительно была пройдена.
3. Проверка на сервере. После отправки формы сервер получает данные пользователя, отправляет токен капчи в API сервиса и получает ответ: успешна ли проверка и каков уровень риска. На основе этого сайт принимает решение: разрешить действие, запросить дополнительную проверку или отклонить запрос.

Капча справляется с массовыми, автоматическими атаками, которые чаще всего бьют по открытым формам. Вот от чего ещё она помогает:

• Спам в формах и комментариях. Если на сайте есть форма обратной связи или комментарии, рано или поздно туда придёт бот. Он начнёт отправлять рекламу, ссылки на сомнительные сайты, вредоносные сообщения. Капча отсекает большую часть такого потока ещё до попадания в базу данных.
• Массовые фейковые регистрации. Боты любят создавать аккаунты, особенно если сервис даёт бонусы, пробный доступ или скидки. Из-за этого в базе копятся «мёртвые» аккаунты и искажается аналитика. Капча помогает сделать массовую автоматическую регистрацию сложнее и дороже.
• Перебор паролей. Если злоумышленник пытается угадать пароль, он может совершить тысячи попыток входа. Капча после нескольких неудачных попыток резко замедляет процесс. Боту приходится каждый раз проходить проверку, из-за этого атака теряет смысл.
• Автоматический сбор данных. Некоторые боты регистрируются или отправляют формы, чтобы, например, собирать цены, копировать контент. Капча не останавливает это полностью, но создаёт дополнительный барьер и увеличивает стоимость атаки.
• Избыточная нагрузка на сервер. Даже если бот не ворует данные, он может просто завалить сайт запросами. Капча помогает ограничить автоматические отправки форм и уменьшает нагрузку на инфраструктуру.

• Ставить там, где есть риск. Не нужно добавлять капчу на каждую кнопку. Чаще всего она оправдана на регистрации, в формах обратной связи, в комментариях или, например, после нескольких неудачных попыток входа. А если страница важна для конверсии (например, оформление заказа), лучше использовать невидимую или поведенческую версию.
• Выбирать современные решения. Искажённые буквы в капче больше раздражают, чем защищают. Лучше использовать поведенческие системы или другие современные аналоги. Они меньше мешают пользователю и точнее оценивают риск.
• Делать защиту «умной». Лучше показывать сложную проверку только при подозрительной активности. Например, после трёх-пяти неудачных попыток входа или при высокой скорости отправки форм.
• Не забывать про удобство. Важно проверить корректную работу капчи на мобильных устройствах, предусмотреть наличие аудиоверсии.
• Тестировать и анализировать. После внедрения капчи стоит посмотреть на цифры. Например, изменилась ли конверсия, снизился ли объём спама и нет ли роста отказов.

Начать свой путь в IT и получить базовые знания в программировании можно бесплатно в Практикуме. Практически в каждом курсе есть уроки, за которые не нужно платить.