Je bent vroeg opgestaan, je hebt je computer een half uur van te voren aangezet en een grote kan koffie gezet. Kortom, je bent volledig voorbereid om die kaartjes voor het concert van Madonna te bemachtigen. Op de website van Ticketmaster klik je direct als de klok acht uur slaat op het aantal kaartjes dat je wilt bestellen. Alles lijkt goed te gaan.

Maar dan. Om de aankoop te bevestigen moet je eerst een onleesbaar tekstje ontcijferen – je moet bewijzen dat je geen robot bent. De eerste keer lukt het niet, die I was toch een L. De tweede keer kun je het helemaal niet lezen. Pas de derde keer zie je dat er ‘Wk76w’ staat. Je typt het razendsnel over, maar helaas: het concert is inmiddels uitverkocht.

Een aantal jaar geleden was dit scenario realistisch. Tegenwoordig komt het gelukkig nog maar zelden voor. Bij Ticketmaster hoef je tijdens het bestellen meestal geen willekeurige tekens meer te ontcijferen, maar alleen een checkbox aan te vinken. Het vinksysteem is een nieuwe stap in de ontwikkeling van zogeheten CAPTCHA’s, testen waarmee sites kunnen controleren of ze met een mens of een robot van doen hebben. Maar waarom zijn CAPTCHA’s eigenlijk nodig? En hoe werken ze precies?

Turingtest

CAPTCHA staat voor ‘Completely Automated Public Turing test to tell Computers and Humans Apart’. De Turingtest, bedacht in 1950 door de Britse wiskundige Alan Turing, is een test voor kunstmatige intelligentie. De software ‘slaagt’ voor de test wanneer mens en computer niet van elkaar kunnen worden onderscheiden. Een CAPTCHA is volgens hoogleraar kunstmatige intelligentie aan Tilburg University Eric Postma een omgekeerde Turingtest: hier moet een mens bewijzen dat hij geen robot is. Dit gebeurt door middel van testen die voor mensen makkelijk zouden moeten zijn, maar waar robots moeite mee hebben.

CAPTCHA’s zijn nodig om online misbruik door robots te voorkomen. Een robot kan bijvoorbeeld in een minuut duizenden concertkaartjes kopen. Criminelen achter de robot kunnen er zo voor zorgen dat een concert razendsnel is uitverkocht en de kaartjes voor hogere prijzen doorverkopen. Ook sites waar je comments kunt achterlaten weren robots, bijvoorbeeld omdat die spam kunnen verspreiden.

De eerste CAPTCHA is ontwikkeld in 2003 door onderzoekers van de Amerikaanse Carnegie Mellon universiteit. Zij bedachten dat vervormde letters gebruikt konden worden om websites te beveiligen. „Computers konden aan het begin van het millennium wel lezen, maar met ongebruikelijk vervormde letters hadden ze moeite”, zegt hoogleraar informatiesystemen aan de Universiteit van Amsterdam Arnold Smeulders.

De vervormde letters werden automatisch gegenereerd. Als je de juiste letters intypte, werd je als ‘mens’ beoordeeld en kwam je door de beveiliging heen. De technologie werd zeer succesvol: in 2011 werden er volgens de bedenkers dagelijks 200 miljoen CAPTCHA’s opgelost.

In deze Ted-talk legt Luis von Ahn, een van de bedenkers van CAPTCHA, uit hoe CAPTCHA’s werken. De tekst gaat verder onder de video:

Steeds slimmere robots

Inmiddels hebben veel computersystemen deze CAPTCHA verslagen: zij herkennen de vervormde letters. Google toonde in 2014 aan dat hun systeem 99,8 procent van de moeilijkste CAPTCHA’s kon oplossen. Mensen slaagden slechts in een derde van de gevallen. Er kwam daarom een nieuw soort CAPTCHA, die werkt met foto’s. Je krijgt een aantal foto’s te zien, met bijvoorbeeld het verzoek om alle foto’s te selecteren met een hond. Dat is lastiger voor computers: er zijn veel meer objecten dan letters, en bovendien kunnen die op veel meer manieren worden weergegeven. Mensen herkennen een hond, of het nou een buldog is of een teckel, en of deze nou zittend is gefotografeerd of in een andere houding. Voor computers is dat veel moeilijker.

Maar volgens Smeulders is beeldherkenningstechnologie de afgelopen vijf jaar zo snel ontwikkeld dat veel computers ook hier niet veel moeite meer mee hebben. „Robots kunnen bijvoorbeeld al katten, honden en auto’s herkennen.”

Google heeft zijn CAPTCHA in 2014 daarom drastisch veranderd. Googles CAPTCHA-systeem, genaamd reCAPTCHA, wordt volgens het bedrijf door ruim een miljoen webpagina’s gebruikt, waaronder Ticketmaster. Er worden nu automatisch gegenereerde gegevens gebruikt om te bepalen of je een mens bent, zoals je ip-adres, je locatie en je gedrag op de website, vertelt een woordvoerder van het bedrijf. „Als je volgens de risico-analyse van Google betrouwbaar lijkt, krijg je alleen een checkbox waar je een vinkje in moet zetten. Als je verdacht lijkt, krijg je een CAPTCHA met foto’s.”

Dit is dus een hele andere benadering dan de vroegere CAPTCHA’s. Moest je eerder nog met je eigen denkvermogen aantonen dat je geen robot was; nu kan de computer dat grotendeels zelf bepalen.