CAPTCHA
Что такое CAPTCHA?
CAPTCHAТест «вызов-ответ», предназначенный отличать людей от автоматических ботов; обычно ставится на регистрации, входе и отправке форм.
CAPTCHA (полностью автоматизированный публичный тест Тьюринга для отличия компьютеров от людей) предлагает задачу, лёгкую для человека и сложную для софта: искажённый текст, выбор изображений, аудио или скрытый поведенческий анализ. Современные сервисы — Google reCAPTCHA v3, hCaptcha, Cloudflare Turnstile — выставляют каждому запросу оценку на основе сигналов браузера, репутации IP и паттернов взаимодействия. CAPTCHA сокращает credential stuffing, скрейпинг, создание фейковых аккаунтов и спам, но это не аутентификация и она массово обходится ML и платными «фермами». Из-за вопросов доступности и приватности её следует использовать как один из слоёв вместе с rate limiting, MFA, ботменеджментом и поведенческой аналитикой.
● Примеры
- 01
reCAPTCHA v3 возвращает оценку риска от 0.0 до 1.0 по каждому запросу.
- 02
Виджет Cloudflare Turnstile в форме входа.
● Частые вопросы
Что такое CAPTCHA?
Тест «вызов-ответ», предназначенный отличать людей от автоматических ботов; обычно ставится на регистрации, входе и отправке форм. Относится к категории Безопасность приложений в кибербезопасности.
Что означает CAPTCHA?
Тест «вызов-ответ», предназначенный отличать людей от автоматических ботов; обычно ставится на регистрации, входе и отправке форм.
Как работает CAPTCHA?
CAPTCHA (полностью автоматизированный публичный тест Тьюринга для отличия компьютеров от людей) предлагает задачу, лёгкую для человека и сложную для софта: искажённый текст, выбор изображений, аудио или скрытый поведенческий анализ. Современные сервисы — Google reCAPTCHA v3, hCaptcha, Cloudflare Turnstile — выставляют каждому запросу оценку на основе сигналов браузера, репутации IP и паттернов взаимодействия. CAPTCHA сокращает credential stuffing, скрейпинг, создание фейковых аккаунтов и спам, но это не аутентификация и она массово обходится ML и платными «фермами». Из-за вопросов доступности и приватности её следует использовать как один из слоёв вместе с rate limiting, MFA, ботменеджментом и поведенческой аналитикой.
Как защититься от CAPTCHA?
Защита от CAPTCHA обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- attacks№ 232
Подстановка учётных данных
Автоматизированная атака, при которой огромные списки логин/пароль, утёкшие из одного сервиса, перебираются на других сервисах, используя повторное использование паролей.
- attacks№ 130
Атака полного перебора
Атака, при которой систематически перебираются все возможные значения — обычно пароли, PIN-коды или ключи — пока не будет найдено правильное.
- network-security№ 118
Управление ботами
Управление ботами — это выявление автоматизированного трафика и различение полезных ботов и вредоносных с последующим разрешением, проверкой или блокированием.
- network-security№ 904
Ограничение частоты запросов
Rate limiting ограничивает количество запросов, которые идентификатор (IP, пользователь, API-ключ или токен) может выполнить за интервал времени, защищая API и приложения от злоупотреблений, скрейпинга и подбора паролей.
- network-security№ 1227
Межсетевой экран веб-приложений (WAF)
Фильтр в виде обратного прокси, который инспектирует HTTP/HTTPS-трафик, чтобы блокировать веб-атаки (SQL-инъекции, XSS, злоупотребление ботами) ещё до приложения.
- attacks№ 010
Захват учётной записи (ATO)
Атака, при которой злоумышленник получает несанкционированный контроль над легитимной учётной записью и использует её для кражи денег, данных или дальнейшего мошенничества.