CAPTCHA’s Inadequaat: De Ticketverkoop in een Technologische Crisis

Door /
Share on LinkedIn Share on WhatsApp

CREATIE VAN PRETIX WAARSCHIJFT DAT BOTS-BESCHERMING VIA CAPTCHA’S EFFECTIVITEIT HEEFT VERLOREN

In een wereld waar concerten binnen enkele seconden uitverkopen en bots sneller handelen dan elke fan, is de strijd om legitieme tickets te bemachtigen een ongelijk gevecht geworden. CAPTCHA-systemen, ooit beschouwd als de definitieve barrière tegen geautomatiseerde programma’s, staan nu onder druk. Raphael Michel, de maker van pretix, een open-source ticketverkoopsysteem, stelt: “CAPTCHA’s bieden geen significante bescherming meer tegen bots.”

Van vervormde tekst naar irrelevantie

CAPTCHA’s werden ontworpen om onderscheid te maken tussen mensen en machines. Ooit met vervormde letters, later met afbeeldingen zoals verkeerslichten en fietsen, en uiteindelijk met auditieve testen. Maar kunstmatige intelligentie heeft geleerd deze allemaal op te lossen. In 2025 zijn tekst-, beeld- en spraakherkenningsmodellen sneller en nauwkeuriger dan mensen bij deze testen.

Het verergerende probleem is dat moeilijkere tests directe gevolgen hebben voor echte gebruikers, die ze vaak niet halen of zelfs het proces afbreken. De toegankelijkheidseisen in Europa belemmeren bovendien de mogelijkheid om CAPTCHA’s zo te ontwerpen dat ze niemand uitsluiten, inclusief mensen met een visuele of auditieve beperking.

Van visuele valstrik naar gedragsmonitoring

Met de ineenstorting van traditionele CAPTCHA’s, kiezen moderne systemen ervoor om het gedrag van de gebruiker te monitoren. Diensten zoals reCAPTCHA v3 of Cloudflare observeren hoe gebruikers hun muis bewegen, navigeren of wat voor geschiedenis ze hebben. Dit helpt hen inschatten of iemand een mens of een machine is.

Het probleem: privacy verdwijnt. Voor de werking hebben deze systemen enorme hoeveelheden persoonlijke gegevens nodig, vaak verzameld via meerdere sites. Dit leidt tot indringende profielen en schendt vaak ethische en juridische principes.

Daarnaast is er absoluut geen ruimte voor fouten. Een vals positief resultaat kan echte gebruikers uitsluiten—zoals mensen die gebruikmaken van asistieve technologieën of nieuwe bezoekers—zonder mogelijkheid tot beroep, vooral in lukrake situaties zoals ticketverkoop.

Bots imiteren nu ons gedrag

Moderne bots gebruiken echte browsers die door code worden bestuurd en imiteren gedetailleerd menselijk gedrag. Ze doen dit zó goed dat technische metriek—zoals gebrek aan muisbeweging—ook kan overeenkomen met legitieme gebruikers, vooral diegenen met assistieve technologie.

Samenvattend: betrouwbare onderscheid tussen mensen en bots kan niet meer alleen door het observeren van gedrag.

Wat als we ze laten werken?

Sommige platforms implementeren al ‘proof of work’, kleine computerwerkzaamheden die gebruikers moeten oplossen (zonder dat ze het merken) voordat ze toegang krijgen. Het idee hierachter is om de toegang voor automatisering te bemoeilijken.

Echter, dit werkt niet in ticketverkoop: de energiekosten om zo’n taak uit te voeren zijn verwaarloosbaar in vergelijking met de voordelen die een doorverkoper krijgt als hij een ticket weet te bemachtigen en dit voor honderden euro’s doorverkoopt. Bovendien is dit een onduurzaam model uit ecologisch perspectief.

Het economische probleem van CAPTCHA’s

Zelfs als er een CAPTCHA zou zijn die onmogelijk te kraken is door een AI, zullen er altijd diensten zijn die het voor je oplossen. Bedrijven combinerenlaag-betaalde werknemers en algoritmes om elke CAPTCHA-barrière te slechten voor slechts enkele centen.

Wat zijn de overgebleven opties?

Michel stelt dat er slechts twee écht effectieve maatregelen zijn:

  • Koppeling van tickets aan geverifieerde identiteiten, zoals namen of documenten. Dit ontmoedigt doorverkoop, maar maakt het ook moeilijker voor de aankoop in groepsverband.
  • Beperkingen op schaarse en moeilijk vervalste middelen, zoals geverifieerde creditcards of telefoonnummers. Dit elimineert niet de fraude, maar verhoogt de kosten ervan.

Het BAP-theorema: een ongemakkelijke keuze

Michel introduceert het BAP-theorema, dat stelt dat het onmogelijk is om gelijktijdig drie kwaliteiten in een anti-bots systeem te hebben:

  • B: Bestendig tegen bots
  • A: Toegankelijk
  • P: Privacy respecterend

Je moet altijd kiezen voor twee. De mogelijke combinaties zijn:

  • BA: Bestendig en toegankelijk, maar zonder privacy
  • BP: Bestendig en privé, maar niet toegankelijk
  • AP: Toegankelijk en privé, maar kwetsbaar voor bots

Technologie of sociale oplossing?

Uiteindelijk stelt de maker van pretix de vraag: “Sociale problemen worden niet opgelost met alleen technologie.” Wetgeving tegen doorverkoop kan een deel van de oplossing zijn, maar is een langzame en ongelijkmatige weg tussen landen.

Ondertussen moeten organisatoren een ongemakkelijke beslissing nemen: Willen ze zich beschermen tegen bots of de privacy en toegankelijkheid van hun gebruikers waarborgen?

In het tijdperk van kunstmatige intelligentie lijkt het erop dat je niet alles kunt hebben.

Share on LinkedIn Share on WhatsApp
Scroll naar boven