Капча (CAPTCHA) в привычном нам виде появилась 26 лет назад и за это время сильно эволюционировала, но основная идея осталась прежней: предложить человеку задачу, которую он решит за пару секунд, а компьютер — нет.
Начиналось все с искаженного текста, были и математические примеры, и короткие аудио. Дальше наступила эпоха выбора пожарных гидрантов, светофоров, мотоциклов, и, казалось, в этой реальности мы останемся надолго. Но современные LLM, как оказалось, справляются с подобной капчей гораздо лучше и быстрее человека.
Рассказываем, как изменились «проверки на человечность» и как это повлияло на безопасность пользователей.
Конец эпохи выбора картинок
В 2007 году Google придумала сервис reCAPTCHA, а через восемь лет в нем появилась проверка, где пользователю предлагается выбрать все картинки, которые попадают под заранее установленные условия. Так миллионы пользователей Интернета волей-неволей стали экспертами в распознавании светофоров, велосипедов, крыш, мостов и пожарных гидрантов. Конечно, ИИ-боты давно научились решать такие задачи.
Поэтому в июне 2026 года Google начала тестировать новый способ подтверждения человечности. Вместо привычных картинок некоторым пользователям предлагают записать короткое видео с жестами рукой. Затем алгоритмы анализируют запись, выделяя 21 ключевую точку кисти и суставов пальцев. По движениям руки система определяет, действительно ли перед ней живой человек, а не бот. Для прохождения такой капчи требуется разрешить доступ к камере — тревожный звоночек для тех, кто задумывается о безопасности и приватности.
При этом Google утверждает, что видеозаписи никогда не связываются с личностью пользователя, а аудио и вовсе не записывается. Также в ее политике безопасности указано, что Google не сохраняет никакие данные после завершения процесса верификации. Традиционно скажем, что у каждого пользователя может быть собственное мнение: доверять Google или нет. Мы, в свою очередь, напомним про материал Фото с паспортом в руках — безопасно или нет?, где подробно разобраны все риски подобных биометрических верификаций на примере фотографий с паспортом.
Какие альтернативы существуют для reCAPTCHA
Хотя Google reCAPTCHA — по-прежнему абсолютный лидер в борьбе с ботами, но мир меняется под воздействием ИИ, и традиционная капча уходит в прошлое. Мы коротко расскажем о некоторых сервисах и способах борьбы с ботами с позиции безопасности.
Системы поведенческого анализа
Один из самых продвинутых способов защиты сайта от наплыва ботов — это система поведенческого анализа. Это метод, в котором система автоматически оценивает каждого посетителя сайта: движения мыши, паттерны кликов, цифровые отпечатки, пытаясь отыскать человечность. Но и это не панацея в борьбе с ботами — их операторы могут один раз показать ботам «естественные» шаблоны поведения, и те легко смогут обходить такой тип защиты раз за разом.
Для пользователей это не самая приятная история с точки зрения приватности. Все-таки не хочется, чтобы каждый сайт в Интернете собирал характеристики ваших устройств и паттерны поведения. При этом полноценной слежкой это назвать тоже нельзя — большинство подобных систем не пытаются установить личность пользователей, а их создатели уверяют, что данные не хранят и для маркетинговых целей не используют. Главная задача таких систем — вычислить, кто зашел на сайт: человек или бот.
Turnstile и hCaptcha
Еще один крупный конкурент reCAPTCHA — это сервис Cloudflare Turnstile. Там проверки проходят в двух режимах: фоновом и с минимальным действием. Пользователю либо вообще не нужно ничего делать, либо нужно нажать на кнопку с галочкой «Я не робот». Здесь основный риск для пользователя — социальная инженерия. Злоумышленники легитимно применяют разные виды капчи на фишинговых сайтах. Это усыпляет бдительность пользователей и защищает вредоносные ресурсы от сканеров безопасности.
Существует и hCaptcha — сервис, делающий упор на безопасность и не принадлежащий какой-либо крупной корпорации, в отличие от reCAPTCHA и Turnstile.
Ключи доступа (passkeys)
Глобально все перечисленные способы и сервисы работают по одной и той же схеме: собирают данные, в некоторых случаях хранят их и используют для других задач. Главное изменение — они требуют меньше действий от пользователя. Не нужно ни пожарные гидранты искать, ни руку в камеру показывать. Но можно пойти дальше и исключить все капчи, если сайт поддерживает ключи доступа.
В таком случае авторизация происходит не с помощью пароля, а с использованием криптографических ключей, для активации которых используется биометрия или ПИН-код, поэтому дополнительная проверка «на человечность» чаще всего не требуется. Что такое ключи доступа, где они работают и как использовать эту технологию, мы рассказывали в материале Passkeys-2025: полный гид по ключам доступа в популярных сервисах. А хранить ключи доступа и обеспечить для них кросс-платформенную совместимость для всех ваших устройств поможет наш менеджер паролей.
К сожалению, ключи доступа не работают там, где пользователь предпочитает сохранить анонимность и не регистрироваться на сайте, поэтому полностью заменить капчу они не могут, но сильно упрощают жизнь большинству пользователей.
Как защитить свою приватность
С точки зрения пользователя, практически нет разницы, какой способ защиты от ботов использует тот или иной сайт. Согласитесь, вы вряд ли откажетесь от посещения страницы, если она защищена reCAPTCHA или, например, системой поведенческого анализа. Более того, в случае с системами, которые работают в фоновом режиме, вы попросту не узнаете, какие данные о вас и вашем устройстве собрали. Но это не приговор для вашей приватности.
В приложениях Kaspersky Standard, Kaspersky Plus и Kaspersky Premium есть компонент Защита от сбора данных в Интернете (Windows, macOS). Он в реальном времени блокирует попытки сторонних сайтов собрать информацию о ваших действиях в Сети. Приватность мобильных гаджетов обеспечивается компонентом Управление приватностью (Android, iOS), а на устройствах под управлением Android версии 9 и выше — еще и функцией Кто за мной следит (доступна не во всех регионах). Эта функция обнаруживает сталкерские приложения, отслеживает, не подбросили ли вам трекинговый маячок, и проверяет разрешения приложений, которые упрощают слежку за вами.
Наконец, наш менеджер паролей защитит от случаев, когда фишинговый сайт с подключенной капчей пытается выдать себя за легитимный — Kaspersky Password Manager не даст автоматически ввести на нем логин-пароль. Вот что еще можно сделать, чтобы сохранить приватность своих данных.
- Не вводите данные на сайте только потому, что он защищен капчей. Мошенники давно используют настоящие reCAPTCHA, hCaptcha и Turnstile на фишинговых страницах, чтобы вызвать доверие.
- По возможности переходите на ключи доступа. Они не работают на фишинговых сайтах и значительно снижают риск сбора данных и ваших паттернов поведения.
Собрали другие технологии, которые постепенно уходят в прошлое, и вам нужно знать об этом:
Капча
Советы