Cơ chế vận hành của CAPTCHA: Làm thế nào hệ thống phân biệt con người và máy tính?

Tác giả phuhien 28/01/2026 4 phút đọc

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) đã trải qua một quá trình tiến hóa dài từ việc nhận diện văn bản biến dạng đến việc phân tích hành vi người dùng một cách vô hình.

1. Sự tiến hóa của các thế hệ CAPTCHA

Thế hệ đầu tiên (Legacy CAPTCHA): Yêu cầu người dùng nhập các ký tự bị làm mờ hoặc méo mó. Nguyên lý dựa trên việc máy tính thời đó gặp khó khăn với công nghệ nhận dạng ký tự quang học (OCR). Tuy nhiên, với sự phát triển của AI và thị giác máy tính, robot hiện nay có thể giải quyết các mã này với độ chính xác trên 99%.
reCAPTCHA v2 (I'm not a robot): Giới thiệu hộp kiểm quen thuộc. Nếu hệ thống nghi ngờ, nó sẽ yêu cầu bạn chọn các hình ảnh có chứa "xe đạp", "đèn giao thông" hoặc "vạch kẻ đường". Đây thực chất là một quá trình gắn nhãn dữ liệu (Data Labeling) để huấn luyện AI cho xe tự lái của Google.
reCAPTCHA v3 (Invisible CAPTCHA): Đây là công nghệ hiện đại nhất, hoạt động hoàn toàn ẩn danh mà không làm gián đoạn trải nghiệm người dùng.

2. reCAPTCHA v3 phân tích những gì?

Hệ thống không đánh giá một hành động duy nhất mà phân tích một chuỗi hành vi để đưa ra "điểm số tin cậy" (Score) từ 0.0 (chắc chắn là robot) đến 1.0 (chắc chắn là người).

Phân tích chuyển động chuột: Con người di chuyển chuột theo các đường cong không hoàn hảo, có gia tốc thay đổi và những khoảng dừng ngẫu nhiên. Ngược lại, robot thường di chuyển theo đường thẳng tuyệt đối hoặc nhảy trực tiếp giữa các tọa độ.
Dấu vân tay trình duyệt (Browser Fingerprinting): Hệ thống kiểm tra các thông số như độ phân giải màn hình, danh sách font chữ đã cài đặt, múi giờ, tiện ích mở rộng và tác nhân người dùng (User Agent). Một cấu hình quá "sạch" hoặc không khớp thường là dấu hiệu của các tập lệnh tự động.
Cookies và Lịch sử: Google kiểm tra xem trình duyệt có chứa các cookie hợp lệ từ các dịch vụ khác hay không. Một người dùng thực sự thường có lịch sử duyệt web phong phú.

3. Tại sao đôi khi con người vẫn thất bại?

Nếu bạn sử dụng VPN, trình duyệt ở chế độ ẩn danh hoặc cài đặt các tiện ích chặn theo dõi (như uBlock Origin), reCAPTCHA sẽ không thể thu thập đủ dữ liệu hành vi. Khi đó, nó sẽ mặc định xếp bạn vào nhóm "nghi ngờ" và đưa ra các thử thách hình ảnh lặp đi lặp lại.