Bildiğimiz şekliyle CAPTCHA’lar, ilk olarak 26 yıl önce ekranlarımızda ortaya çıktı. O zamandan bu yana oldukça gelişmiş olsalar da, temel fikir her zaman aynı kalmıştır: Kullanıcılara, bir insanın iki saniyede çözebileceği ancak bir bilgisayarın çözemeyeceği hızlı bir görev sunmak.
Her şey bozuk metinler, matematik problemleri ve kısa ses klipleriyle başladı. Ardından yangın musluklarını, trafik ışıklarını ve motosikletleri fark etmeye çalıştığımız dönem geldi. Bu aşama sanki sonsuza dek sürecekmiş gibiydi. Ancak görünen o ki, modern büyük dil modelleri bu görsel bulmacaları bir insanın yapabileceğinden çok daha hızlı ve çok daha doğru bir şekilde çözebiliyor.
Bu yazıda, bu “insan mısınız?” testlerinin nasıl değiştiğine ve bunun güvenliğiniz açısından ne anlama geldiğine dair görüşlerimizi ele alıyoruz.
Resme tıklama döneminin sonu
2007 yılında Google, reCAPTCHA‘yı kullanıma sundu ve sekiz yıl sonra, kullanıcılardan belirli bir talimatla eşleşen tüm resimleri seçmelerini isteyen bir test ekledi. Bir anda, milyonlarca internet kullanıcısı farkında olmadan trafik ışıklarını, bisikletleri, çatıları, köprüleri ve yangın musluklarını tanımada uzman oluverdi. Elbette, yapay zeka botları bu bulmacaları çözmeyi çoktan öğrendiler.
İşte bu nedenle Google, Haziran 2026’da, sizin bir insan olup olmadığınızı kontrol etmek için yepyeni bir yöntemi denemeye başladı. Her zamanki resimler yerine, bazı kullanıcılardan artık el hareketlerini gösteren kısa bir video çekmeleri isteniyor. Algoritmalar, görüntüleri analiz ederek el ve parmak eklemlerindeki 21 önemli noktayı takip ediyor. Bu sistem, elinizin hareketlerini izleyerek karşısındaki kişinin gerçek bir insan mı yoksa bir bot mu olduğunu anlayabiliyor. Bu yeni tür CAPTCHA’yı geçmek, kameraya erişim izni vermek anlamına geliyor ve bu durum, güvenlik ve gizlilik konusunda endişe duyan herkes için bir tehlike işareti teşkil ediyor. Buna ek olarak, güvenlik araştırmacıları, Google’ın deneysel el hareketi tabanlı CAPTCHA sisteminde bir güvenlik açığı keşfettiklerini iddia ediyorlar ve bu sistemin sadece bir el fotoğrafı kullanılarak bile aldatılabileceğini gösteriyorlar.
Yine de Google, bu videoların hiçbir şekilde kişisel kimliğinizle ilişkilendirilmediğini ve hiçbir ses kaydının yapılmadığını vurguluyor. Güvenlik ilkelerinde ayrıca, doğrulama işlemi tamamlanır tamamlanmaz Google’ın tüm verileri sildiği belirtilmekte. Her zamanki gibi, Google’a güvenip güvenmeme kararı tamamen size kalmış. Ancak bu noktada, Kimlik kartınızla selfie çekmek güvenli mi? başlıklı yazımıza dikkatinizi çekmek isteriz; bu yazımızda pasaport fotoğraflarını örnek olarak kullanarak biyometrik doğrulamanın tam olarak ne gibi riskler taşıdığını ayrıntılı olarak ele almıştık.
reCAPTCHA’nın alternatifleri neler?
Google’ın reCAPTCHA’sı botları engelleme konusunda hâlâ tartışmasız bir numara olsa da, yapay zeka dünyayı uyum sağlamaya zorluyor ve geleneksel CAPTCHA’lar artık geçmişte kalıyor. İşte güvenlik açısından alternatif hizmetler ve bot engelleme yöntemlerine dair kısa bir özet.
Davranış analizi sistemleri
Bir web sitesini bot ordularından korumak için en gelişmiş yöntemlerden biri, davranış analizi sistemidir. Bu yöntem, fare hareketlerini, tıklama alışkanlıklarını ve dijital parmak izlerini izleyerek her bir ziyaretçiyi otomatik olarak değerlendirir ve insan davranışlarını tespit eder. Ancak bu bile botlara karşı kesin bir çözüm değildir; botların operatörleri, botları doğal davranış kalıplarını taklit edecek şekilde kolayca eğitebilir ve böylece botların bu tür savunma mekanizmalarını defalarca ve kolayca aşmasına imkan tanır.
Kullanıcılar açısından bu, gizlilik konusunda pek de iyi bir haber sayılmaz. Ne de olsa, hiç kimse internetteki her web sitesinin kendi cihaz özelliklerini toplamasını ve davranışlarını izlemesini istemez. Bununla birlikte, bunu tam anlamıyla bir izleme olarak da nitelendiremezsiniz; zira bu sistemlerin çoğu sizin gerçekte kim olduğunuzu tespit etmeye çalışmıyor ve geliştiricileri, verilerinizi saklamadıklarını ya da pazarlama amaçlı kullanmadıklarını taahhüt ediyorlar. Buradaki temel amaç, sayfaya yeni gelen kişinin bir insan mı yoksa bir bot mu olduğunu kesin olarak belirlemek.
Turnike ve hCaptcha
reCAPTCHA’nın bir diğer önemli rakibi ise, doğrulama işlemini tamamen arka planda ya da kullanıcının asgari düzeyde müdahalesiyle gerçekleştiren Cloudflare Turnstile. Yani ya hiçbir şey yapmanıza gerek yok, ya da sadece “Ben robot değilim” yazan kutucuğu işaretlemeniz yeterli. Burada kullanıcılar için en büyük risk, sosyal mühendisliğe indirgenebilir. Bilgisayar korsanları, kimlik avı sitelerinde sık sık yasal gibi görünen CAPTCHA’ları kullanır. Bu durum, kullanıcıları sahte bir güvenlik hissine kapılmalarına neden olur ve güvenlik tarayıcılarının zararlı sayfaları tespit etmesini engeller.
Bir de hCaptcha var. Bu hizmet, güvenliğe büyük önem veriyor ve reCAPTCHA ile Turnstile’ın aksine bir teknoloji devine ait değil.
Geçiş anahtarları
Genel olarak bakıldığında, şimdiye kadar bahsedilen her yöntem ve hizmet aynı şemayı izler: Verilerinizi toplar, bazen saklar ve başka amaçlar için kullanır. Şu anda yaşanan en önemli değişim, bunların sizin tarafınızdan daha az çaba gerektirmesidir. Yangın musluklarını aramanıza ya da kameraya el sallamanıza gerek yok. Ancak, bir web sitesi geçiş anahtarlarını destekliyorsa, bu konuyu bir adım daha ileri götürüp CAPTCHA’ları tamamen ortadan kaldırabilirsiniz.
Bu sistemde, parolayla oturum açmazsınız; bunun yerine, biyometrik verileriniz veya bir PIN kodu ile etkinleştirilen kriptografik anahtarlar kullanırsınız; bu da genellikle “insan olduğunuzu kanıtlama” niteliğindeki ek bir kontrolü tamamen gereksiz kılar. 2025’te Geçiş Anahtarları: Parolasız oturum açma için eksiksiz kılavuzunuz başlıklı yazımızda, geçiş anahtarlarının tam olarak ne olduğunu, bu teknolojinin nerede ve nasıl kullanıldığını ayrıntılı olarak ele almıştık. Geçiş anahtarlarınızı saklamak ve tüm cihazlarınızda sorunsuz bir şekilde çalışmasını sağlamak istiyorsanız, parola yöneticimiz tam da size göre.
Ne yazık ki, anonim kalmak ve hesap oluşturmadan internette gezinmek istediğiniz durumlarda geçiş anahtarları işe yaramaz. Bu nedenle, CAPTCHA’ların yerini tamamen alamazlar, ancak yine de kullanıcıların büyük çoğunluğu için hayatı çok daha kolaylaştırırlar.
Gizliliğinizi nasıl koruyabilirsiniz?
Kullanıcı açısından bakıldığında, bir web sitesinin hangi bot koruma yöntemini kullanmaya karar verdiği neredeyse hiçbir fark yaratmaz. Dürüst olalım; bir sayfayı, sırf reCAPTCHA ya da davranış analizi sistemi kullandığı için muhtemelen terk etmeyeceksiniz. Dahası, arka planda sessizce çalışan sistemler söz konusu olduğunda, sizin ve cihazınız hakkında ne tür veriler topladıklarını bile bilemeyeceksiniz. Ancak bu, mahremiyetinizin tamamen kaybedildiği anlamına gelmez.
Windows ve macOS için geliştirdiğimiz Kaspersky Standard, Kaspersky Plus ve Kaspersky Premium uygulamalarımızda Gizli Tarama özelliği bulunmaktadır. Bu özellik, üçüncü taraf web sitelerinin çevrimiçi etkinliklerinizi gerçek zamanlı olarak izlemesini engeller. Mobil cihazlarda gizlilik konusunda Social Privacy (Android, iOS) uygulamasına güvenebilirsiniz. Ayrıca, Android 9 veya daha yeni sürümlerini çalıştıran cihazlarda, belirli bölgelerde kullanılabilen Beni Kim Gözetliyor özelliği bulunmaktadır. Bu araç, takip yazılımlarını tespit eder, gizli izleme etiketlerini kontrol eder ve sizi gözetlemeyi kolaylaştıran uygulama izinlerini inceler.
Son olarak, bir kimlik avı sitesi gerçek bir CAPTCHA kullanarak yasal gibi görünmeye çalıştığında, parola yöneticimiz sizi korur. Kaspersky Password Manager, bu tür sitelerde kullanıcı adınızı ve parolanızı otomatik olarak doldurmanıza izin vermez. Verilerinizin gizliliğini korumak için yapabileceğiniz diğer şeyler şunlardır:
- Sırf bir site CAPTCHA ile korunuyor diye verilerinizi o siteye girmeyin. Dolandırıcılar, güven uyandırmak amacıyla uzun süredir kimlik avı sayfalarında gerçek reCAPTCHA’lar, hCaptcha’lar ve Turnstile’ları kullanmaktadır.
- Mümkün olan her yerde geçiş anahtarlarına geçin. Bunlar, kimlik avı sitelerinde kullanılamaz ve verilerinizin ve davranış kalıplarınızın toplanma riskini önemli ölçüde azaltır.
Artık tedavülden kalkmakta olan diğer teknolojilerin önemli bir listesini hazırladık:
CAPTCHA
İpuçları