Captcha adalah singkatan dari Completely Automated Public Turing test to tell Computers and Humans Apart. Dari kepanjangannya aja kita udah bisa menerka bahwa CAPTCHA memang berfungsi untuk membatasi akses spam/bot ataupun automation task yang dilakukan oleh mesin ke form2 yg ada dalam web kita, seperti form login, form guestbook, dan form comments pada blog. Tentunya kita ngga mau banyak inputan aneh yg datang dalam jumlah bejibun, udah gitu isinya ngga beres, bisa berupa promosi, link ke situs porno dll. Dan kalau anda sering menjumpai form dimana kita harus mengetikkan serangkaian huruf/angka ke dalam form untuk verifikasi, nah ini dia CAPTCHA.
Prinsipnya, CAPTCHA pada web, menggenerate sebuah image yang berisi random haracter, kemudian random caharacter tsb disimpan di session atau cookies, nantinya user diminta memasukkan karakter2 tsb ke form sebagai verifikasi. Untuk mengetahui apakah karakter yg diinput sudah benar, script akan melakukan koparasi dengan karakter yg disimpan pada session tadi. Hal ini dilakukan untuk membatasi hanya manusia yg boleh menginput ke form, bukan mesin atau komputer. Komputer/mesin disini adalah komputer yg melakukan aktivitas terstruktur dalam waktu dan frekuensi yg tinggi dengan tujuan spamming, Brute Force Attack, dan aktivitas yg tidak bertanggung jawab lainnya.
CAPTCHA yang baik bukanlah puluhan atau ratusan gambar yg kita buat, lalu kita tampilkan secara random, akan tetapi gambar yg di generate secara dinamis. Jadi, sistem mengambil karakter acak dulu, baru di generate menjadi image. Hal ini bisa dilakukan oleh GD_Library pada PHP. Namun, kita tetap harus membuat beberapa penyesuaian dalam membuat captcha agar relatif lebih secure. Beberapa diantaranya :
1. Buat distorsi yang memadai pada teks untuk mempersulit pembacaan oleh komputer, namun jaga agar manusia tetap bisa membacanya. Bisa dgn menambahakan garis, atau teks yang di bengkokkan. 2. Gunakan warna yang mirip antara teks dan background, hindari warna kontras antara teks dgn backgroundnya. 3. Gunakan fungsi hash seperti MD5 hash. 4. Gunakan karakter acak, bukan berupa kata agar lebih sulit di tebak oleh mesin. 5. Simpan nilai CAPTCHA di session, karena jika disimpan di cookies, akan bermasalah jika cookiesnya dimatikan.
