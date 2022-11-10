Diversi gruppi hanno sviluppato le prime forme di tecnologia CAPTCHA in parallelo tra la fine degli anni '90 e l'inizio degli anni 2000. Ogni gruppo ha lavorato per combattere il problema diffuso degli hacker che utilizzano i bot per attività dannose su internet. Per esempio, gli informatici che lavorano per il motore di ricerca AltaVista volevano impedire ai bot di aggiungere indirizzi web pericolosi al database dei collegamenti dell'azienda.

I ricercatori dell'azienda IT Sanctum hanno presentato il primo sistema in stile CAPTCHA nel 1997. Tuttavia, un gruppo di ricercatori di informatica presso la Carnegie Mellon University, guidato da Luis von Ahn e Manuel Blum, introdusse per la prima volta il termine CAPTCHA nel 2003. Questo team è stato ispirato a lavorare sulla tecnologia da un dirigente di Yahoo che aveva tenuto un discorso sui problemi dell'azienda, dove gli spambot che registravano milioni di account di posta elettronica falsi.

Per risolvere il problema di Yahoo, von Ahn e Blum hanno creato un programma per computer che:

generava una stringa di testo casuale, generava un'immagine distorta di quel testo (chiamata "codice CAPTCHA"), presentava l'immagine all'utente, chiedeva all'utente di inserire il testo in un campo del modulo e quindi di inviare la risposta facendo clic su una casella di controllo accanto alla frase "Non sono un robot".

Poiché la tecnologia OCR dell'epoca faticava a decifrare un testo così distorto, i bot non riuscivano a superare la verifica CAPTCHA. Se un utente inseriva la stringa di caratteri corretta, si presumeva che fosse umano e che fosse autorizzato a completare la registrazione dell'account o l'invio del modulo web.

Yahoo ha implementato la tecnologia di Carnegie Mellon, richiedendo a tutti gli utenti di superare un test CAPTCHA prima di registrarsi per un indirizzo e-mail. Ciò ha ridotto significativamente l'attività degli spambot, e altre aziende hanno adottato CAPTCHA per proteggere i loro moduli web. Nel corso del tempo, tuttavia, gli hacker hanno utilizzato i dati delle verifiche CAPTCHA completate per sviluppare algoritmi in grado di superare in modo affidabile i test. Questo ha segnato l'inizio di una corsa agli armamenti tuttora in corso tra sviluppatori CAPTCHA e criminali informatici che ha alimentato l'evoluzione della funzionalità CAPTCHA.

reCAPTCHA v1

Lanciato da von Ahn nel 2007, reCAPTCHA v1 aveva un duplice obiettivo: rendere la verifica CAPTCHA basata su testo più difficile da decifrare per i bot e migliorare l'accuratezza dell'OCR utilizzato all'epoca per digitalizzare i testi stampati.

reCAPTCHA ha raggiunto il primo obiettivo aumentando la distorsione del testo visualizzato all'utente e infine aggiungendo righe trasversali sul testo.

Il secondo obiettivo è stato raggiunto sostituendo una singola immagine di testo distorto generato in modo casuale con due immagini di testo distorte di parole scansionate da testi reali da due diversi programmi OCR. La prima parola, o parola di controllo, veniva identificata correttamente da entrambi i programmi OCR. La seconda parola non veniva identificata da nessuno dei programmi OCR. Se l'utente identificava correttamente la parola di controllo, reCAPTCHA presumeva che l'utente fosse umano e gli permetteva di continuare l'attività. Inoltre, presumeva che l'utente identificasse correttamente la seconda parola e utilizzava la risposta per verificare i risultati OCR futuri.

In questo modo, reCAPTCHA ha migliorato la sicurezza anti-bot e l'accuratezza dei testi digitalizzati presso l'Internet Archive e il New York Times. Ironicamente, nel tempo ha anche contribuito a migliorare l'intelligenza artificiale e gli algoritmi di machine learning al punto che, nel 2014, erano in grado di identificare i CAPTCHA di testo più distorti nel 99,8% dei casi.

Nel 2009, Google ha acquisito reCAPTCHA e ha iniziato a utilizzarlo per digitalizzare i testi per Google Books, offrendolo come servizio ad altre organizzazioni. Tuttavia, con il progredire della tecnologia OCR con l'aiuto di reCAPTCHA, sono aumentati anche i programmi di AI in grado di risolvere efficacemente i reCAPTCHA basati su testo. In tutta risposta, Google ha introdotto i reCAPTCHA per il riconoscimento delle immagini nel 2012, che hanno sostituito il testo distorto con immagini tratte da Google Street View. Gli utenti dimostravano di essere umani identificando oggetti del mondo reale come lampioni e taxi. Oltre a eludere l'OCR avanzato ora distribuito dai bot, questi reCAPTCHA basati su immagini sono stati considerati più comodi per gli utenti di app mobili.

Google reCAPTCHA v2: No CAPTCHA reCAPTCHA

Nel 2014, Google ha rilasciato reCAPTCHA v2, che ha sostituito le sfide basate su testo e immagini con una semplice casella di controllo che indica "Non sono un robot". Quando gli utenti selezionano la casella, reCAPTCHA v2 analizza le interazioni dell'utente con le pagine web valutando fattori quali velocità di digitazione, cookie, cronologia dei dispositivi e indirizzo IP per determinare se un utente potrebbe essere umano. Anche la casella di controllo fa parte del funzionamento di CAPTCHA: nessun CAPTCHA reCAPTCHA tiene traccia dei movimenti del mouse dell'utente quando fa clic sulla casella. I movimenti umani tendono ad essere più caotici, mentre quelli dei bot sono più precisi. Se nessun CAPTCHA reCAPTCHA sospetta che l'utente sia un bot, gli presenta una sfida CAPTCHA basata sulle immagini.

reCAPTCHA v3

reCAPTCHA v3, che ha debuttato nel 2018, ha eliminato la casella di controllo e ampliato l'analisi del rischio basata sull'AI senza CAPTCHA reCAPTCHA. ReCAPTCHA v3 si integra con una pagina web tramite l'API JavaScript e viene eseguito in background, assegnando un punteggio al comportamento di un utente su una scala da 0,0 (probabilmente un bot) a 1,0 (probabilmente un essere umano). I proprietari di siti web possono impostare azioni automatiche da attivare in determinati momenti, quando il punteggio di un utente suggerisce che potrebbe trattarsi di un bot. Ad esempio, i commenti sul blog degli utenti con un punteggio basso possono essere inviati a una coda di moderazione quando fanno clic su "Invia", oppure agli utenti con un punteggio basso può essere chiesto di completare un processo di autenticazione a più fattori quando tentano di accedere a un account.

I metodi di autenticazione basati sull'AI come reCAPTCHA v3 cercano di aggirare il problema degli hacker. Rimuovendo le sfide interattive dal processo di verifica CAPTCHA, impediscono agli hacker di utilizzare i dati delle sfide precedentemente risolte per addestrare i bot a decifrare nuovi CAPTCHA. Per questo motivo, gli esperti ritengono che i CAPTCHA basati sull'AI diventeranno la norma, sostituendo completamente i CAPTCHA basati sulle verifiche nei prossimi cinque-dieci anni.