Täysin automatisoitu julkinen Turingin testi tietokoneiden ja ihmisten erottamiseksi (CAPTCHA) on juurtunut Internetin selailuun, koska henkilökohtaiset tietokoneet nousivat vauhtiin kulutuselektroniikkamarkkinoilla. Lähes niin kauan kuin ihmiset ovat käyneet verkossa, verkkokehittäjät ovat etsineet tapoja estää roskapostirobotit. CAPTCHA-palvelu erottaa ihmisen ja botin toiminnan pitääkseen robotit poissa. Valitettavasti sen menetelmät ovat vähemmän kuin tarkkoja. Yrittäessään suojella ihmisiä kehittäjät ovat tehneet suuren osan verkosta vammaisten ulottumattomissa.
Todennusmenetelmät, kuten CAPTCHA, käyttävät yleensä kuvien luokittelua, pulmia, ääninäytteitä tai napsautuspohjaisia testejä määrittääkseen, onko käyttäjä ihminen. Vaikka haastetyypit ovat hyvin dokumentoituja, niiden logiikka ei ole yleisesti tiedossa. Ihmiset voivat vain arvailla, mitä tarvitaan "todistaakseen" olevansa ihmisiä.
Mikä on CAPTCHA? CAPTCHA on käänteinen Turing-testi, joka on haaste-vastetesti. Jos se esimerkiksi kehottaa käyttäjiä "valitsemaan kaikki kuvat, joissa on portaat", heidän on poimittava portaat kaiteilta, ajotiteiltä ja suojatiiltä. Vaihtoehtoisesti heitä voidaan pyytää syöttämään näkemäänsä teksti, lisäämään nopan kasvojen summa tai suorittamaan liukuva palapeli. Kuvapohjaiset CAPTCHA:t ovat vastuussa Internetin käyttäjien turhauttavimmista yhteisistä kokemuksista – ne päättävät, valitaanko neliö, kun siinä on vain pieni osa kyseisestä kohteesta.
Menetelmästä riippumatta tietokone tai algoritmi määrittää viime kädessä, onko testin suorittaja ihminen vai kone. Tämä todennuspalvelu on synnyttänyt monia jälkeläisiä, mukaan lukien reCAPTCHA ja hCAPTCHA. Se on jopa johtanut kokonaisten yritysten, kuten GeeTestin ja Arkose Labsin, luomiseen. Googlen omistama automaattinen järjestelmä reCAPTCHA edellyttää, että käyttäjät valitsevat "En ole robotti" -valintaruudun todennusta varten. Se suorittaa taustalla mukautuvan analyysin riskipisteiden määrittämiseksi. hCAPTCHA on kuvien luokitukseen perustuva vaihtoehto. Muita todennusmenetelmiä ovat monitekijätodennus (MFA), QR-koodit, väliaikaiset PIN-koodit (PIN) ja biometriset tiedot. Ne eivät noudata haaste-vastaus -kaavaa, vaan palvelevat pohjimmiltaan samanlaisia tarkoituksia. Näiden jälkeläisten on tarkoitus olla parempia kuin alkuperäinen, mutta ne eivät usein täytä nykyaikaisia saavutettavuusstandardeja. Otetaan esimerkiksi hCaptcha, joka käyttää evästettä, jonka avulla voit ohittaa haaste-vastaustestin kokonaan. Se on teoriassa hyvä idea, mutta se ei toimi käytännössä. Sinun pitäisi saada kertaluonteinen koodi sähköpostitse, jonka lähetät tiettyyn numeroon tekstiviestillä. Käyttäjät raportoivat saaneensa loputtomia virheilmoituksia, jotka pakottavat heidät täydentämään vakiotekstiä CAPTCHA. Tämä on käytettävissä vain, jos sivusto on ottanut sen käyttöön määrityksen aikana. Jos sitä ei ole määritetty, sinun on suoritettava kuvahaaste, joka ei tunnista näytönlukuohjelmia. Vaikka alkuperäinen prosessi toimisi, myöhempi todennus perustuu kolmannen osapuolen sivustojen väliseen evästeeseen, jonka useimmat selaimet estävät automaattisesti. Lisäksi koodi vanhenee lyhyen ajan kuluttua, joten sinun on suoritettava koko prosessi uudelleen, jos seuraavaan vaiheeseen siirtyminen kestää liian kauan. Miksi tiimit käyttävät CAPTCHAa ja vastaavia todennusmenetelmiä? CAPTCHA on yleinen, koska se on helppo asentaa. Kehittäjät voivat ohjelmoida sen näyttämään, ja se suorittaa testin automaattisesti. Näin he voivat keskittyä tärkeämpiin asioihin samalla kun estetään roskapostia, petoksia ja väärinkäyttöä. Näiden työkalujen oletetaan helpottavan ihmisten turvallista käyttöä, mutta ne estävät usein oikeita ihmisiä kirjautumasta sisään. Nämä testit johtavat huonoon käyttökokemukseen. Eräässä tutkimuksessa havaittiin, että käyttäjät tuhlasivat yli 819 miljoonaa tuntia yli 512 miljardiin reCAPTCHA v2 -istuntoon vuonna 2023. Kaikesta huolimatta robotit hallitsevat. Koneoppimismallit voivat ratkaista tekstipohjaisen CAPTCHA:n sekunnin murto-osissa yli 97 prosentin tarkkuudella. Vuoden 2024 tutkimuksessa Googlen reCAPTCHA v2:sta – jota käytetään edelleen laajalti reCAPTCHA v3:n käyttöönotosta huolimatta – havaittiin, että robotit voivat ratkaista CAPTCHA-kuvaluokituksen jopa 100 %:n tarkkuudella riippuen objektista, jonka ne on tunnistettava. Tutkijat käyttivät ilmaista avoimen lähdekoodin mallia, mikä tarkoittaa, että huonot toimijat voivat helposti kopioida työnsä. Miksi verkkokehittäjien pitäisi lopettaa CAPTCHA:n käyttö? Todennusmenetelmissä, kuten CAPTCHA, on saavutettavuusongelma. Koneoppimisen kehitys pakotti nämä palvelut monimutkaisemaan. Silti ne eivät ole idioottivarmoja. Botit saavatse on oikein enemmän kuin ihmiset tekevät. Tutkimukset osoittavat, että he pystyvät suorittamaan reCAPTCHA:n 17,5 sekunnissa ja saavuttavat 85 % tarkkuuden. Ihmiset vievät kauemmin ja ovat vähemmän tarkkoja. Monet ihmiset epäonnistuvat CAPTCHA-testeissä, eivätkä he tiedä, mitä he tekivät väärin. Esimerkiksi kehote, jossa kehotetaan käyttäjiä "valitsemaan kaikki liikennevaloilla varustetut ruudut", näyttää riittävän yksinkertaiselta, mutta se muuttuu monimutkaisemmaksi, jos pylväs on toisessa ruudussa. Pitäisikö heidän valita tämä laatikko, vai tekeekö algoritmi niin? Vaikka botin ominaisuudet ovat kasvaneet suuria määriä, ihmiset ovat pysyneet ennallaan. Kun testit muuttuvat asteittain vaikeammiksi, he tuntevat vähemmän taipumusta yrittää niitä. Erään tutkimuksen mukaan lähes 59 % ihmisistä lopettaa tuotteen käytön useiden huonojen kokemusten jälkeen. Jos todennus on liian hankalaa tai monimutkaista, he saattavat lopettaa verkkosivuston käytön kokonaan. Ihmiset voivat hylätä nämä testit useista syistä, mukaan lukien tekniset. Jos he estävät kolmannen osapuolen evästeet, paikallinen välityspalvelin on käynnissä tai jos he eivät ole päivittäneet selaintaan vähään aikaan, ne saattavat epäonnistua huolimatta siitä, kuinka monta kertaa he yrittävät. Todennusongelmat CAPTCHA:n kanssa Yllä mainituista syistä johtuen useimmat CAPTCHA-tyypit ovat luonnostaan saavuttamattomissa. Tämä koskee erityisesti vammaisia, sillä näitä haaste-vastaustestejä ei ole suunniteltu heidän tarpeitaan ajatellen. Jotkut yleisimmistä ongelmista ovat seuraavat: Visuaaleihin ja näytönlukuohjelman käyttöön liittyvät ongelmat Näytönlukuohjelmat eivät voi lukea tavallisia visuaalisia CAPTCHA-kuvia, kuten vääristyneen tekstin testiä, koska sekalaiset, vääntyneet sanat eivät ole koneellisesti luettavissa. Kuvan luokittelu ja liukuvat pulmamenetelmät ovat samoin saavuttamattomissa. Yhdessä WebAIM-tutkimuksessa, joka tehtiin vuosina 2023–2024, näytönlukuohjelman käyttäjät myönsivät CAPTCHA:n olevan ongelmallisin kohde, ja se sijoittui moniselitteisten linkkien, odottamattomien näytön muutosten, puuttuvan vaihtoehtoisen tekstin, vaikeaselkoisen haun ja näppäimistön esteettömyyden edelle. Sen paikka huipulla on pysynyt suurelta osin muuttumattomana yli vuosikymmenen ajan, mikä kuvaa sen saavuttamattomuuden historiaa. Kuuloon ja äänenkäsittelyyn liittyvät ongelmat Äänen CAPTCHA:t ovat suhteellisen harvinaisia, koska verkkokehityksen parhaat käytännöt suosittelevat äänen automaattista toistamista ja korostavat käyttäjien ohjausten merkitystä. Ääni-CAPTCHA:t ovat kuitenkin edelleen olemassa. Ihmiset, jotka ovat huonokuuloisia tai kuuroja, voivat kohdata esteen yrittäessään tehdä näitä testejä. Jopa avustavalla tekniikalla, tahallinen äänen vääristyminen ja taustamelu tekevät näistä näytteistä haastavia henkilöille, joilla on kuulonkäsittelyhäiriöitä. Moottoriin ja kätevuuteen liittyvät ongelmat Motorisia ja käteviä taitoja vaativat testit voivat olla haastavia liike- tai fyysisesti vammaisille. Esimerkiksi joku, jolla on käsien vapina, saattaa kokea liukuvan palapelin vaikeaksi. Myös kuvien luokittelutestit, jotka lataavat enemmän kuvia, kunnes yhtään kriteeriin sopivaa ei jää jäljelle, voivat olla haasteita. Kognitioon ja kieleen liittyvät ongelmat Kun CAPTCHA:sta tulee yhä monimutkaisempi, jotkut kehittäjät siirtyvät testeihin, jotka edellyttävät luovan ja kriittisen ajattelun yhdistelmää. Ne, jotka vaativat käyttäjiä ratkaisemaan matemaattisen ongelman tai suorittamaan palapelin, voivat olla haastavia ihmisille, joilla on lukihäiriö, dyskalkulia, näönkäsittelyhäiriöt tai kognitiiviset häiriöt. Miksi avustava teknologia ei kata kuilua? CAPTCHA:t on suunniteltu tarkoituksella ihmisten tulkittavaksi ja ratkaistaviksi, joten aputekniikoista, kuten näytönlukulaitteista ja handsfree-ohjaimista, ei ehkä ole juurikaan apua. Erityisesti ReCAPTCHA on ongelmallinen, koska se analysoi taustatoimintaa. Jos se merkitsee esteettömyyslaitteet boteiksi, se palvelee mahdollisesti saavuttamattomissa olevaa CAPTCHAa. Vaikka tämä tekniikka voisi kuroa umpeen kuilun, verkkokehittäjien ei pitäisi odottaa sitä. Alan standardit edellyttävät, että niiden tulee noudattaa yleismaailmallisia suunnitteluperiaatteita tehdäkseen verkkosivustoistaan mahdollisimman helppokäyttöisiä ja toimivia. CAPTCHA:n esteettömyysongelmat voitaisiin antaa anteeksi, jos se olisi tehokas tietoturvatyökalu, mutta se ei ole läheskään idioottivarma, koska robotit saavat sen paremmin kuin ihmiset. Miksi jatkaa menetelmän käyttöä, joka on tehoton ja luo esteitä vammaisille? On parempiakin vaihtoehtoja. Helppokäyttöisen todennuksen periaatteet Ajatus siitä, että ihmisten pitäisi jatkuvasti ylittää algoritmit, on vanhentunut. Parempia todennusmenetelmiä on olemassa, kuten monitekijätodennus (MFA). Kahden tekijän todennusmarkkinoiden arvo on arviolta 26,7 miljardia dollaria vuoteen 2027 mennessä, mikä korostaa sen suosiota. Tämä työkaluon tehokkaampi kuin CAPTCHA, koska se estää luvattoman käytön jopa laillisilla tunnistetiedoilla.
Varmista, että MFA-tekniikkasi on käytettävissä. Sen sijaan, että verkkosivuston vierailijat kirjoittaisivat monimutkaisia koodeja, sinun tulee lähettää push-ilmoituksia tai tekstiviestejä. Luota vahvistuskoodin automaattiseen täyttöön, jotta voit siepata ja kirjoittaa koodin automaattisesti. Vaihtoehtoisesti voit ottaa käyttöön "muista tämä laite" -ominaisuuden ohittaaksesi todennuksen luotetuissa laitteissa. Applen kaksivaiheinen todennustapa on suunniteltu tällä tavalla. Luotettu laite näyttää automaattisesti kuusinumeroisen vahvistuskoodin, joten sitä ei tarvitse etsiä. iPhonen käyttäjät voivat pyydettäessä napauttaa ehdotusta, joka näkyy heidän mobiilinäppäimistönsä yläpuolella automaattista täyttöä varten.
Kertakirjautuminen on toinen vaihtoehto. Tämän istunnon ja käyttäjän todennuspalvelun avulla ihmiset voivat kirjautua useille verkkosivustoille tai sovelluksiin yhdellä kirjautumistunnuksella, mikä minimoi toistuvan henkilöllisyyden vahvistuksen tarpeen. Kertakäyttöiset "taikalinkit" ovat erinomainen vaihtoehto reCAPTCHA:lle ja väliaikaisille PIN-koodeille. Sen sijaan, että käyttäjä muistaisi koodin tai ratkaisisi pulman, hän napsauttaa painiketta. Vältä määräaikojen asettamista, koska WCAG:n menestyskriteerin 2.2.3 mukaan käyttäjien ei pitäisi kohdata aikarajoituksia, koska vammaiset saattavat tarvita enemmän aikaa tiettyjen toimien suorittamiseen. Vaihtoehtoisesti voit käyttää Cloudflare Turnstilea. Se todentaa näyttämättä CAPTCHAa, eikä useimpien ihmisten tarvitse edes valita valintaruutua tai painaa painiketta. Ohjelmisto toimii antamalla kulissien takana pienen JavaScript-haasteen erottaakseen automaattisesti robotit ja ihmiset. Cloudflare Turnstile voidaan upottaa mille tahansa verkkosivustolle, mikä tekee siitä erinomaisen vaihtoehdon tavallisille luokitustehtäville. Helppokäyttöisten todennusmallien testaus ja arviointi Käytettävissä olevien vaihtoehtoisten todennusmenetelmien testaaminen ja arviointi on välttämätöntä. Monet mallit näyttävät hyvältä paperilla, mutta eivät toimi käytännössä. Kerää palautetta todellisilta käyttäjiltä, jos mahdollista. Avoin beta voi olla tehokas tapa maksimoida näkyvyys. Muista, että yleiset esteettömyysnäkökohdat eivät koske vain vammaisia. Heidän joukossaan ovat myös neurodivergentit, joilla ei ole pääsyä mobiililaitteeseen tai jotka käyttävät avustavaa tekniikkaa. Varmista, että vaihtoehtoiset mallit huomioivat nämä henkilöt.
Realistisesti et voi luoda täydellistä järjestelmää, koska jokainen on ainutlaatuinen. Monien ihmisten on vaikea seurata monivaiheisia prosesseja, ratkaista yhtälöitä, käsitellä monimutkaisia ohjeita tai muistaa salasanat. Vaikka yleiset web-suunnitteluperiaatteet voivat parantaa joustavuutta, mikään yksittäinen ratkaisu ei voi vastata kaikkien tarpeita. Riippumatta käyttämästäsi todennustekniikasta, sinun tulee tarjota käyttäjille useita todennusvaihtoehtoja etukäteen. He tietävät kykynsä parhaiten, joten anna heidän päättää, mitä käyttää sen sijaan, että he yrittäisivät suunnitella liikaa ratkaisua, joka toimii jokaisessa reunatapauksessa. Korjaa suunnittelumuutosten aiheuttama esteettömyysongelma Henkilö, jolla on käsien vapinaa, ei ehkä pysty suorittamaan liukuvaa palapeliä, kun taas jollain, jolla on äänenkäsittelyhäiriö, voi olla ongelmia vääristyneiden ääninäytteiden kanssa. Et kuitenkaan voi yksinkertaisesti korvata CAPTCHA-koodeja vaihtoehdoilla, koska ne ovat usein yhtä vaikeasti käytettävissä. Esimerkiksi QR-koodeja voi olla vaikea skannata niille, joilla on alennettu hienomotorinen ohjaus. Näkövammaisilla saattaa olla vaikeuksia löytää se näytöltä. Samoin biometriset tiedot voivat aiheuttaa ongelmia ihmisille, joilla on kasvojen epämuodostumia tai rajoitettu liikerata. Esteettömyysongelman ratkaiseminen vaatii luovaa ajattelua. Voit aloittaa vierailemalla Web Accessibility Initiativen esteettömyysopetusohjelmissa kehittäjille, jotta he ymmärtävät paremmin yleismaailmallisen suunnittelun. Vaikka nämä opetusohjelmat keskittyvät enemmän sisältöön kuin todentamiseen, voit silti käyttää niitä hyödyksesi. W3C-ryhmän huomautus CAPTCHA:n saavuttamattomuudesta tarjoaa asiaankuuluvampia ohjeita. Aloittaminen on yhtä helppoa kuin parhaiden käytäntöjen tutkiminen. Perusasioiden ymmärtäminen on välttämätöntä, koska helppokäyttöiselle web-suunnittelulle ei ole olemassa universaalia ratkaisua. Jos haluat optimoida saavutettavuuden, harkitse palautteen hankkimista ihmisiltä, jotka todella vierailevat verkkosivustollasi. Lue lisää
"CAPTCHA: Perspektiivit ja haasteet", Darko Brodić ja Alessia Amelio "Esteettömän tekstin suunnittelu kuvien päälle: parhaat käytännöt, tekniikat ja resurssit", Hannah Milan "Parhaan CAPTCHA:n etsinnässä", David Bushell "WCAG 3.0:n ehdottama pisteytysmalli: vaihtoesteettömyysarvioinnissa”, Mikhail Prosmitskiy
