La prova de Turing públic completament automatitzada per distingir els ordinadors i els humans (CAPTCHA) s'ha arrelat a la navegació per Internet des que els ordinadors personals van guanyar impuls al mercat de l'electrònica de consum. Durant gairebé tant de temps que la gent ha estat connectada, els desenvolupadors web han buscat maneres de bloquejar els robots de correu brossa. El servei CAPTCHA distingeix entre l'activitat humana i l'activitat de bot per mantenir els robots fora. Malauradament, els seus mètodes són menys que precisos. En intentar protegir els humans, els desenvolupadors han fet que gran part del web sigui inaccessible per a persones amb discapacitat.
Els mètodes d'autenticació, com ara CAPTCHA, solen utilitzar classificació d'imatges, trencaclosques, mostres d'àudio o proves basades en clics per determinar si l'usuari és humà. Tot i que els tipus de reptes estan ben documentats, la seva lògica no és de coneixement públic. La gent només pot endevinar què cal per "provar" que és humà.
Què és CAPTCHA? Un CAPTCHA és una prova de Turing inversa que pren la forma d'una prova de repte-resposta. Per exemple, si s'indica als usuaris que "seleccionin totes les imatges amb escales", hauran de triar les escales de les baranes, les calçada i els passos de vianants. Alternativament, se'ls pot demanar que introdueixin el text que veuen, que afegeixin la suma de les cares dels daus o que completin un trencaclosques lliscant. Els CAPTCHA basats en imatges són els responsables de les experiències compartides més frustrants que tenen els usuaris d'Internet: decidir si seleccionen un quadrat quan només hi ha una petita part de l'objecte en qüestió.
Independentment del mètode, un ordinador o algorisme determina en última instància si el que fa la prova és humà o màquina. Aquest servei d'autenticació ha generat moltes derivacions, com reCAPTCHA i hCAPTCHA. Fins i tot ha donat lloc a la creació d'empreses senceres, com GeeTest i Arkose Labs. El sistema automatitzat de propietat de Google reCAPTCHA requereix que els usuaris facin clic a una casella de selecció amb l'etiqueta "No sóc un robot" per a l'autenticació. Executa una anàlisi adaptativa en segon pla per assignar una puntuació de risc. hCAPTCHA és una alternativa basada en la classificació d'imatges. Altres mètodes d'autenticació inclouen l'autenticació multifactor (MFA), els codis QR, els números d'identificació personal temporals (PIN) i la biometria. No segueixen la fórmula desafiament-resposta, però tenen propòsits fonamentalment similars. Aquestes ramificacions estan pensades per ser millors que l'original, però sovint no compleixen els estàndards d'accessibilitat moderns. Preneu hCaptcha, per exemple, que utilitza una galeta per deixar-vos passar per complet la prova de resposta al repte. És una gran idea en teoria, però no funciona a la pràctica. Se suposa que rebeu un codi únic per correu electrònic que envieu a un número específic per SMS. Els usuaris informen de rebre missatges d'error interminables, cosa que els obliga a completar el text estàndard CAPTCHA. Això només està disponible si el lloc l'ha habilitat explícitament durant la configuració. Si no està configurat, heu de completar un repte d'imatge que no reconegui els lectors de pantalla. Fins i tot quan el procés inicial funciona, l'autenticació posterior es basa en una galeta entre llocs de tercers, que la majoria dels navegadors bloquegen automàticament. A més, el codi caduca al cap d'un període curt, de manera que haureu de tornar a fer tot el procés si trigueu massa a passar al següent pas. Per què els equips utilitzen CAPTCHA i mètodes d'autenticació similars? El CAPTCHA és comú perquè és fàcil de configurar. Els desenvolupadors poden programar-lo perquè aparegui i realitza la prova automàticament. D'aquesta manera, poden centrar-se en qüestions més importants tot evitant el correu brossa, el frau i l'abús. Se suposa que aquestes eines faciliten l'ús d'Internet de manera segura per als humans, però sovint impedeixen que les persones reals iniciïn sessió. Aquestes proves donen lloc a una mala experiència d'usuari en general. Un estudi va trobar que els usuaris van perdre més de 819 milions d'hores en més de 512.000 milions de sessions reCAPTCHA v2 a partir del 2023. Malgrat tot, els robots prevalen. Els models d'aprenentatge automàtic poden resoldre CAPTCHA basat en text en fraccions de segon amb una precisió superior al 97%. Un estudi del 2024 sobre reCAPTCHA v2 de Google, que encara s'utilitza àmpliament malgrat el llançament de reCAPTCHA v3, va trobar que els robots poden resoldre la classificació d'imatges CAPTCHA amb una precisió de fins al 100%, depenent de l'objecte que se'ls encarrega d'identificar. Els investigadors van utilitzar un model gratuït i de codi obert, el que significa que els actors dolents podrien replicar fàcilment el seu treball. Per què els desenvolupadors web haurien de deixar d'utilitzar CAPTCHA? Els mètodes d'autenticació com CAPTCHA tenen un problema d'accessibilitat. Els avenços de l'aprenentatge automàtic van obligar aquests serveis a ser cada cop més complexos. Tot i així, no són infal·libles. Els bots aconsegueixenés més correcte que la gent. La investigació demostra que poden completar reCAPTCHA en 17,5 segons, aconseguint un 85% de precisió. Els humans triguen més temps i són menys precisos. Molta gent falla les proves CAPTCHA i no tenen ni idea del que han fet malament. Per exemple, una indicació que indica als usuaris que "seleccionin totes les caselles amb semàfors" sembla prou senzill, però es complica si una part del pal es troba en una altra casella. Haurien de seleccionar aquesta casella, o és això el que faria un algorisme? Tot i que les capacitats dels bots han crescut en magnituds, els humans s'han mantingut igual. A mesura que les proves es fan més difícils, se senten menys propensos a provar-les. Una enquesta mostra que gairebé el 59% de les persones deixaran d'utilitzar un producte després de diverses experiències dolentes. Si l'autenticació és massa feixuga o complexa, poden deixar d'utilitzar el lloc web completament. Les persones poden fallar aquestes proves per diversos motius, inclosos els tècnics. Si bloquegen les galetes de tercers, tenen un servidor intermediari local en execució o no han actualitzat el seu navegador durant un temps, poden seguir fallant, independentment de quantes vegades ho intentin. Problemes d'autenticació amb CAPTCHA Per les raons esmentades anteriorment, la majoria dels tipus de CAPTCHA són inherentment inaccessibles. Això és especialment cert per a les persones amb discapacitat, ja que aquestes proves de repte-resposta no es van dissenyar tenint en compte les seves necessitats. Alguns dels problemes comuns inclouen els següents: Problemes relacionats amb les imatges i l'ús del lector de pantalla Els lectors de pantalla no poden llegir CAPTCHA visuals estàndard, com ara la prova de text distorsionat, ja que les paraules contorsionades i contorsionades no són llegibles per màquina. La classificació d'imatges i els mètodes de trencaclosques lliscants són igualment inaccessibles. En una enquesta de WebAIM realitzada entre 2023 i 2024, els usuaris de lectors de pantalla van acordar que el CAPTCHA era l'element més problemàtic, classificant-lo per sobre d'enllaços ambigus, canvis de pantalla inesperats, falta de text alternatiu, cerca inaccessible i manca d'accessibilitat del teclat. El seu lloc a la part superior s'ha mantingut pràcticament sense canvis durant més d'una dècada, cosa que il·lustra la seva història d'inaccessibilitat. Problemes relacionats amb l'audició i el processament d'àudio Els CAPTCHA d'àudio són relativament poc freqüents perquè les pràctiques recomanades per al desenvolupament web desaconsellen la reproducció automàtica d'àudio i destaquen la importància dels controls d'usuari. Tanmateix, els CAPTCHA d'àudio encara existeixen. Les persones amb problemes d'audició o sordes poden trobar-se amb una barrera quan intenten aquestes proves. Fins i tot amb la tecnologia d'assistència, la distorsió intencionada d'àudio i el soroll de fons fan que aquestes mostres siguin difícils de comprendre per a persones amb trastorns de processament auditiu. Problemes relacionats amb la motriu i la destresa Les proves que requereixen habilitats motrius i de destresa poden ser un repte per a persones amb discapacitats motrius o discapacitats físiques. Per exemple, algú amb un tremolor a la mà pot trobar difícils de lliscar els trencaclosques. A més, les proves de classificació d'imatges que carreguen més imatges fins que no en quedi cap que s'ajusti als criteris poden suposar un repte. Problemes relacionats amb la cognició i el llenguatge A mesura que els CAPTCHA es tornen cada cop més complexos, alguns desenvolupadors recorren a proves que requereixen una combinació de pensament creatiu i crític. Aquells que requereixen que els usuaris resolguin un problema de matemàtiques o completen un trencaclosques poden ser un repte per a les persones amb dislèxia, discalcúlia, trastorns del processament visual o deficiències cognitives. Per què la tecnologia d'assistència no superarà la bretxa Els CAPTCHA estan dissenyats intencionadament perquè els humans els interpretin i resolguin, de manera que la tecnologia d'assistència com els lectors de pantalla i els controls mans lliures pot ser de poca ajuda. ReCAPTCHA en particular planteja un problema perquè analitza l'activitat de fons. Si marca els dispositius d'accessibilitat com a bots, servirà un CAPTCHA potencialment inaccessible. Fins i tot si aquesta tecnologia pogués salvar la bretxa, els desenvolupadors web no haurien d'esperar-ho. Els estàndards de la indústria dicten que han de seguir els principis de disseny universals per fer que els seus llocs web siguin tan accessibles i funcionals com sigui possible. Els problemes d'accessibilitat de CAPTCHA es podrien perdonar si fos una eina de seguretat eficaç, però està lluny de ser infal·lible, ja que els robots ho fan més bé que els humans. Per què seguir utilitzant un mètode ineficaç i que crea barreres per a les persones amb discapacitat? Hi ha millors alternatives. Principis per a l'autenticació accessible La idea que els humans haurien de superar constantment els algorismes està obsoleta. Existeixen millors mètodes d'autenticació, com ara l'autenticació multifactor (MFA). El mercat d'autenticació de dos factors tindrà un valor estimat de 26.700 milions de dòlars el 2027, cosa que subratlla la seva popularitat. Aquesta einaés més efectiu que un CAPTCHA perquè impedeix l'accés no autoritzat, fins i tot amb credencials legítimes.
Assegureu-vos que la vostra tècnica MFA sigui accessible. En lloc de fer que els visitants del lloc web transcriguin codis complexos, hauríeu d'enviar notificacions push o missatges SMS. Confieu en l'emplenament automàtic del codi de verificació per capturar i introduir el codi automàticament. Alternativament, podeu introduir una funció de "recorda aquest dispositiu" per ometre l'autenticació en dispositius de confiança. L'enfocament d'autenticació de dos factors d'Apple està dissenyat d'aquesta manera. Un dispositiu de confiança mostra automàticament un codi de verificació de sis dígits, de manera que no l'hagin de cercar. Quan se'ls demani, els usuaris d'iPhone poden tocar el suggeriment que apareix a sobre del teclat del mòbil per a l'emplenament automàtic.
L'inici de sessió únic és una altra opció. Aquest servei d'autenticació de sessions i usuaris permet que les persones iniciïn sessió a diversos llocs web o aplicacions amb un únic conjunt de credencials d'inici de sessió, minimitzant la necessitat de verificar la identitat repetida. Els "enllaços màgics" d'un sol ús són una excel·lent alternativa a reCAPTCHA i als PIN temporals. En lloc de recordar un codi o resoldre un trencaclosques, l'usuari fa clic en un botó. Eviteu imposar terminis perquè, segons el criteri d'èxit 2.2.3 de les WCAG, els usuaris no haurien d'enfrontar-se a límits de temps, ja que les persones amb discapacitat poden necessitar més temps per completar accions específiques. Alternativament, podeu utilitzar Cloudflare Turnstile. S'autentica sense mostrar un CAPTCHA, i la majoria de la gent ni tan sols ha de marcar una casella o prémer un botó. El programari funciona emetent un petit repte de JavaScript darrere de les escenes per diferenciar automàticament entre robots i humans. Cloudflare Turnstile es pot incrustar a qualsevol lloc web, cosa que el converteix en una excel·lent alternativa a les tasques de classificació estàndard. Prova i avaluació de dissenys d'autenticació accessibles Provar i avaluar els vostres mètodes d'autenticació alternatius accessibles és essencial. Molts dissenys es veuen bé al paper, però no funcionen a la pràctica. Si és possible, recolliu comentaris dels usuaris reals. Una beta oberta pot ser una manera eficaç de maximitzar la visibilitat. Recordeu que les consideracions generals d'accessibilitat no només s'apliquen a les persones amb discapacitat. També inclouen aquells que són neurodivergents, no tenen accés a un dispositiu mòbil o utilitzen tecnologia d'assistència. Assegureu-vos que els vostres dissenys alternatius tinguin en compte aquestes persones.
De manera realista, no podeu crear un sistema perfecte ja que tothom és únic. Moltes persones lluiten per seguir processos de diversos passos, resoldre equacions, processar instruccions complexes o recordar contrasenyes. Tot i que els principis de disseny web universals poden millorar la flexibilitat, cap solució única pot satisfer les necessitats de tothom. Independentment de la tècnica d'autenticació que utilitzeu, hauríeu de presentar als usuaris diverses opcions d'autenticació per endavant. Coneixen millor les seves capacitats, així que deixeu-los decidir què utilitzar en lloc d'intentar sobre-enginyar una solució que funcioni per a tots els casos extrems. Abordeu el problema d'accessibilitat amb els canvis de disseny És possible que una persona amb tremolors a les mans no pugui completar un trencaclosques lliscant, mentre que algú amb un trastorn de processament d'àudio pot tenir problemes amb mostres d'àudio distorsionades. Tanmateix, no podeu simplement substituir els CAPTCHA per alternatives perquè sovint són igualment inaccessibles. Els codis QR, per exemple, poden ser difícils d'escanejar per a aquells amb un control motor fi reduït. Les persones amb discapacitat visual poden tenir dificultats per trobar-la a la pantalla. De la mateixa manera, la biometria pot suposar un problema per a les persones amb deformitats facials o amb un rang de moviment limitat. Abordar el problema d'accessibilitat requereix un pensament creatiu. Podeu començar visitant els tutorials d'accessibilitat de la Web Accessibility Initiative perquè els desenvolupadors entenguin millor el disseny universal. Tot i que aquests tutorials se centren més en el contingut que en l'autenticació, encara podeu utilitzar-los al vostre avantatge. L'esborrany de la nota del grup W3C sobre la inaccessibilitat del CAPTCHA ofereix una guia més rellevant. Començar és tan fàcil com investigar les millors pràctiques. Entendre els conceptes bàsics és essencial perquè no hi ha una solució universal per al disseny web accessible. Si voleu optimitzar l'accessibilitat, penseu a obtenir comentaris de les persones que realment visiten el vostre lloc web. Lectura addicional
"El CAPTCHA: Perspectives i reptes", Darko Brodić i Alessia Amelio "Dissenyant text accessible sobre imatges: millors pràctiques, tècniques i recursos", Hannah Milan "A la recerca del millor CAPTCHA", David Bushell “Model de puntuació proposat de WCAG 3.0: un canvien l'avaluació de l'accessibilitat”, Mikhail Prosmitskiy
