Je kent het wel. Je wilt snel iets bestellen, een formulier invullen of ergens inloggen en dan verschijnt hij. Een wazig tekst vol kronkelige letters. Of negen foto’s waarvan je moet aanwijzen welke een “fiets” bevat. Of erger: een stoeprand. Is dat nu een stoeprand of toch een beetje een straatsteen?
Welkom in de wereld van de CAPTCHA.
Wat is een CAPTCHA eigenlijk?
CAPTCHA staat voor Completely Automated Public Turing test to tell Computers and Humans Apart. De naam zegt het al: het is een geautomatiseerde test om te bepalen of jij een mens bent of een bot.
Het idee stamt uit 2000, bedacht door onderzoekers van de Carnegie Mellon University. De bedoeling was simpel: websites beschermen tegen geautomatiseerde scripts die formulieren spammen, accounts aanmaken of stemmen kopen.
Zo ver, zo logisch. Maar sindsdien is het een stuk gekker geworden.
De meest absurde CAPTCHA’s ooit
1. “Klik op alle stoepen”
Google’s reCAPTCHA v2 — je kent hem vast — vraagt je geregeld om stoepen, verkeerslichten, fietsen of bussen aan te klikken in een raster van negen foto’s. Op zich prima. Behalve als een stoeprand half achter een auto steekt en je al drie keer opnieuw begint omdat het systeem het er niet mee eens is.
Internetgebruikers hebben hier hele threads over gevuld. Eén populaire tweet luidde: “I’ve now identified more traffic lights for Google than I’ve seen in real life.”
2. De onleesbare letters
De klassieke CAPTCHA met vervormde tekst werd ooit beschouwd als onkraakbaar. Totdat AI-systemen er beter in werden dan mensen. Onderzoekers van Google zelf publiceerden in 2014 een paper waaruit bleek dat hun algoritme vergroeide huisnummers met 99,8% nauwkeurigheid kon lezen — beter dan de gemiddelde mens.
Resultaat: de letters werden nóg kronkeliger, nóg vager, nóg onmogelijker. Tot het punt dat mensen ze structureel verkeerd invulden en bots ze feilloos oplosten.
3. “Bewijs dat je geen robot bent door dit spelletje te spelen”
Sommige ontwikkelaars kozen een andere aanpak: minigames. Sleep de puzzelstukken op de juiste plek. Draai het plaatje rechtop. Tik de letters in de goede volgorde. Leuk als puzzelidee, minder leuk als je dit tien keer moet doen omdat de server traag reageert.
4. De onzichtbare CAPTCHA
Google’s reCAPTCHA v3 heeft geen knop of puzzel meer. Hij kijkt gewoon hoe je je muis beweegt, hoe snel je typt en wat je browsergeschiedenis is. Je ziet niks, maar je wordt de hele tijd geobserveerd.
Prettig voor de gebruiker. Maar wat er precies wordt bijgehouden, is een stuk minder transparant.
5. Wiskundige opgaven voor gevorderden
Op sommige (kleinere, zelfgebouwde) websites kom je CAPTCHA’s tegen zoals: “Hoeveel is 847 gedeeld door 7 keer 3 min 12?” Fijn. Alsof je solliciteert bij de belastingdienst.
6. De audiotoegang die niemand begrijpt
Mensen met een visuele beperking kunnen bij veel CAPTCHA’s kiezen voor een audioversie. Die speelt dan een reeks cijfers of letters af — maar dan door elkaar gemixt met achtergrondgeluid, echo’s en statische ruis. Het resultaat klinkt als een radiotransmissie uit 1943.
Toegankelijk bedoeld. In de praktijk onmogelijk te begrijpen.
Waarom worden CAPTCHA’s steeds moeilijker?
Hier wordt het interessant — en dit raakt direct aan waar JeWiltWat.nl over gaat.
Het is een wapenwedloop. Elke keer dat CAPTCHA’s moeilijker worden, worden de bots die ze omzeilen ook slimmer. Dat klinkt als een technisch probleem, maar het is ook een economisch en maatschappelijk probleem.
Botnetwerken worden ingezet voor het massaal aanmaken van nepaccounts op sociale media, het kopen van concertkaartjes om die door te verkopen, het manipuleren van online polls en likes, en zogeheten credential stuffing: geautomatiseerd uitproberen van gelekte wachtwoorden.
De CAPTCHA staat in de weg. De bot probeert er overheen. De CAPTCHA wordt moeilijker. De bot wordt slimmer. En jij zit in het midden — gefrustreerd met negen plaatjes van stoepkanten.
Het deel dat je waarschijnlijk niet wist: jij werkt gratis voor AI
Dit is misschien wel het meest verrassende aspect van de hele CAPTCHA-industrie.
Toen Google reCAPTCHA overnam in 2009, maakte het systeem gebruik van OCR-puzzels, tekst die computers niet goed konden lezen, maar mensen wel. Die tekst was afkomstig van ingescande boeken en kranten die Google wilde digitaliseren.
Wat betekende dat in de praktijk? Elke keer dat jij een CAPTCHA invulde, hielp je Google om oude boeken te digitaliseren. Gratis. Zonder dat je het wist.
Later verschoof dit naar straatbeelden. De foto’s van verkeerslichten en stoepen in reCAPTCHA komen van Google Street View en Google Maps. Door die plaatjes te labelen, train jij het AI-systeem dat zelfrijdende auto’s moet leren rijden.
Dit is geen complottheorie, dit is gewoon hoe het systeem werkt. Google heeft het nooit echt verborgen, maar het wordt ook zelden uitgelegd.
En nu: reCAPTCHA v3 en het privacyvraagstuk
Google’s nieuwste versie, reCAPTCHA v3, verzamelt geen plaatjes meer maar gedragsdata. Het systeem kijkt naar hoe snel je typt, hoe je de muis beweegt, welke cookies er in je browser zitten, hoe je browser is geconfigureerd en je IP-adres en internetprovider.
Op basis daarvan geeft het systeem je een “menselijkheidsscore” tussen 0 en 1. Een score van 0,9 betekent dat je waarschijnlijk een mens bent. Een score van 0,2 betekent dat de website je mogelijk extra controles opwerpt.
Dit klinkt efficiënt. En dat is het ook. Maar het betekent wel dat Google op miljoenen websites meekijkt terwijl jij formulieren invult, ook als je helemaal geen Google-dienst gebruikt.
Vanuit privacyperspectief is dit precies het soort onzichtbaar toezicht dat de AVG in Europa probeert te reguleren. Toch is reCAPTCHA nog steeds de standaard op een groot deel van het web.
Alternatieven die minder data vergaren
Er zijn CAPTCHA-alternatieven die minder afhankelijk zijn van Big Tech-data.
hCaptcha is vergelijkbaar met reCAPTCHA, maar de inkomsten gaan deels naar de website-eigenaar. Ook hCaptcha verzamelt wel gegevens, maar verkoopt die niet aan advertentienetwerken.
Friendly Captcha is een Duits alternatief dat werkt via “proof of work”: jouw computer lost een wiskundig probleem op. Geen plaatjes, geen gedragsdata, geen afhankelijkheid van externe servers. Voldoet aan de AVG.
Turnstile van Cloudflare werkt onzichtbaar, maar gebruikt andere signalen dan Google en is gebonden aan Cloudflare’s privacybeleid, niet dat van Google.
Honeypot-technieken zijn populair bij kleinere websites: een verborgen formulierveld dat echte mensen nooit zien en dus ook niet invullen. Bots vullen alles in, inclusief dat veld, en worden zo herkend. Simpel, effectief, geen externe dienst nodig.
Wat kun jij zelf doen?
Als gewone gebruiker heb je weinig keuze: als een website reCAPTCHA gebruikt, gebruik jij reCAPTCHA. Maar er zijn een paar dingen die helpen.
Gebruik een privacyvriendelijke browser zoals Firefox of Brave, met uBlock Origin als extensie. Die blokkeert niet de CAPTCHA zelf, maar beperkt wél andere tracking rondom het bezoek. Log daarnaast niet in bij Google terwijl je andere websites bezoekt. reCAPTCHA geeft ingelogde Google-gebruikers doorgaans een hogere menselijkheidsscore — maar dat betekent ook dat Google precies weet welke websites je bezoekt.
Ben je website-eigenaar? Overweeg dan Friendly Captcha of een honeypot-techniek in plaats van reCAPTCHA. Je beschermt je bezoekers én je hoeft geen Google-script op je site te laden.
De stoeprand is slechts het begin
CAPTCHA’s zijn begonnen als slim truckje om bots buiten te houden. Ze zijn uitgegroeid tot een miljardenindustrie waarbij jij onbetaald AI-trainingsdata levert, je gedrag wordt geprofileerd en je browser wordt uitgelezen terwijl je denkt dat je gewoon een formulier invult.
De meest absurde CAPTCHA is misschien niet de onleesbare tekst of de negen foto’s met fietsonderdelen. De meest absurde CAPTCHA is de onzichtbare, de ene die je niet ziet, maar die je wel de hele tijd observeert.
Gewoon iets om aan te denken, de volgende keer dat je op een stoeprand klikt.
Wil je meer weten over hoe websites jouw data verzamelen zonder dat je het doorhebt? Lees dan ook ons artikel over cookies en trackers of ontdek welke informatie zichtbaar is als jij een website bezoekt.