Il test pubblico di Turing completamente automatizzato per distinguere i computer e gli esseri umani (CAPTCHA) è diventato radicato nella navigazione in Internet da quando i personal computer hanno guadagnato slancio nel mercato dell'elettronica di consumo. Fin da quando le persone sono andate online, gli sviluppatori web hanno cercato modi per bloccare i bot spam. Il servizio CAPTCHA distingue tra attività umana e bot per tenere lontani i bot. Sfortunatamente, i suoi metodi sono tutt’altro che precisi. Nel tentativo di proteggere gli esseri umani, gli sviluppatori hanno reso gran parte del web inaccessibile alle persone con disabilità.
I metodi di autenticazione, come CAPTCHA, utilizzano in genere la classificazione delle immagini, puzzle, campioni audio o test basati sui clic per determinare se l'utente è umano. Sebbene i tipi di sfide siano ben documentati, la loro logica non è di pubblico dominio. Le persone possono solo indovinare cosa serve per “dimostrare” di essere umani.
Cos'è il CAPTCHA? Un CAPTCHA è un test di Turing inverso che assume la forma di un test sfida-risposta. Ad esempio, se viene richiesto agli utenti di "selezionare tutte le immagini con scale", devono individuare le scale da ringhiere, vialetti e strisce pedonali. In alternativa, potrebbe essere chiesto loro di inserire il testo che vedono, aggiungere la somma delle facce dei dadi o completare un puzzle scorrevole. I CAPTCHA basati su immagini sono responsabili delle esperienze condivise più frustranti che hanno gli utenti di Internet: decidere se selezionare un quadrato quando al suo interno è presente solo una piccola parte dell'oggetto in questione.
Indipendentemente dal metodo, un computer o un algoritmo determina in ultima analisi se il candidato è un essere umano o una macchina. Questo servizio di autenticazione ha generato molti derivati, tra cui reCAPTCHA e hCAPTCHA. Ha persino portato alla creazione di intere società, come GeeTest e Arkose Labs. Il sistema automatizzato reCAPTCHA di proprietà di Google richiede agli utenti di fare clic su una casella di controllo denominata "Non sono un robot" per l'autenticazione. Esegue un'analisi adattiva in background per assegnare un punteggio di rischio. hCAPTCHA è un'alternativa basata sulla classificazione delle immagini. Altri metodi di autenticazione includono l'autenticazione a più fattori (MFA), codici QR, numeri di identificazione personale temporanei (PIN) e dati biometrici. Non seguono la formula sfida-risposta, ma servono a scopi fondamentalmente simili. Queste propaggini dovrebbero essere migliori dell'originale, ma spesso non riescono a soddisfare i moderni standard di accessibilità. Prendi hCaptcha, ad esempio, che utilizza un cookie per consentirti di ignorare completamente il test sfida-risposta. È un’ottima idea in teoria, ma non funziona nella pratica. Dovresti ricevere un codice monouso via e-mail che invii a un numero specifico tramite SMS. Gli utenti segnalano di aver ricevuto infiniti messaggi di errore, costringendoli a completare il testo standard CAPTCHA. Questo è disponibile solo se il sito lo ha abilitato esplicitamente durante la configurazione. Se non è configurato, è necessario completare una verifica delle immagini che non riconosca gli screen reader. Anche quando il processo iniziale funziona, l'autenticazione successiva si basa su un cookie cross-site di terze parti, che la maggior parte dei browser blocca automaticamente. Inoltre, il codice scade dopo un breve periodo, quindi dovrai ripetere l'intero processo se impieghi troppo tempo per passare al passaggio successivo. Perché i team utilizzano CAPTCHA e metodi di autenticazione simili? Il CAPTCHA è comune perché è facile da configurare. Gli sviluppatori possono programmarlo in modo che venga visualizzato e il test viene eseguito automaticamente. In questo modo, possono concentrarsi su questioni più importanti prevenendo allo stesso tempo spam, frodi e abusi. Questi strumenti dovrebbero rendere più facile per gli esseri umani utilizzare Internet in modo sicuro, ma spesso impediscono alle persone reali di accedere. Questi test danno come risultato un'esperienza utente complessivamente scarsa. Uno studio ha rilevato che gli utenti hanno sprecato oltre 819 milioni di ore su oltre 512 miliardi di sessioni reCAPTCHA v2 nel 2023. Nonostante tutto, prevalgono i bot. I modelli di machine learning possono risolvere CAPTCHA basati su testo in frazioni di secondo con una precisione superiore al 97%. Uno studio del 2024 sul reCAPTCHA v2 di Google – che è ancora ampiamente utilizzato nonostante il lancio di reCAPTCHA v3 – ha scoperto che i bot possono risolvere i CAPTCHA di classificazione delle immagini con una precisione fino al 100%, a seconda dell’oggetto che hanno il compito di identificare. I ricercatori hanno utilizzato un modello gratuito e open source, il che significa che i malintenzionati potrebbero facilmente replicare il loro lavoro. Perché gli sviluppatori web dovrebbero smettere di usare CAPTCHA? I metodi di autenticazione come CAPTCHA presentano un problema di accessibilità. I progressi dell’apprendimento automatico hanno costretto questi servizi a diventare sempre più complessi. Anche ancora, non sono infallibili. I bot ottengonoè giusto più di quanto facciano le persone. La ricerca mostra che possono completare reCAPTCHA entro 17,5 secondi, raggiungendo una precisione dell'85%. Gli esseri umani impiegano più tempo e sono meno precisi. Molte persone non superano i test CAPTCHA e non hanno idea di cosa hanno fatto di sbagliato. Ad esempio, un messaggio che chiede agli utenti di “selezionare tutte le piazze con semaforo” sembra abbastanza semplice, ma diventa complicato se una scheggia di palo si trova in un’altra piazza. Dovrebbero selezionare quella casella o è quello che farebbe un algoritmo? Sebbene le capacità dei bot siano cresciute enormemente, gli esseri umani sono rimasti gli stessi. Man mano che i test diventano progressivamente più difficili, si sentono meno propensi a tentarli. Un sondaggio mostra che quasi il 59% delle persone smetterà di utilizzare un prodotto dopo diverse esperienze negative. Se l'autenticazione è troppo complicata o complessa, potrebbero smettere di utilizzare completamente il sito web. Le persone possono fallire questi test per vari motivi, compresi quelli tecnici. Se bloccano i cookie di terze parti, hanno un proxy locale in esecuzione o non aggiornano il browser da un po', potrebbero continuare a fallire, indipendentemente da quante volte provano. Problemi di autenticazione con CAPTCHA Per i motivi sopra menzionati, la maggior parte dei tipi di CAPTCHA sono intrinsecamente inaccessibili. Ciò è particolarmente vero per le persone con disabilità, poiché questi test di sfida-risposta non sono stati progettati pensando alle loro esigenze. Alcuni dei problemi comuni includono quanto segue: Problemi relativi agli elementi visivi e all'utilizzo dello screen reader I lettori di schermo non possono leggere i CAPTCHA visivi standard, come il test di testo distorto, poiché le parole confuse e contorte non sono leggibili dalla macchina. I metodi di classificazione delle immagini e di puzzle scorrevole sono altrettanto inaccessibili. In un sondaggio WebAIM condotto dal 2023 al 2024, gli utenti di screen reader hanno concordato che il CAPTCHA era l'elemento più problematico, classificandolo al di sopra di collegamenti ambigui, cambiamenti imprevisti dello schermo, testo alternativo mancante, ricerca inaccessibile e mancanza di accessibilità da tastiera. La sua posizione in cima è rimasta sostanzialmente invariata per oltre un decennio, a dimostrazione della sua storia di inaccessibilità. Problemi relativi all'udito e all'elaborazione audio I CAPTCHA audio sono relativamente rari perché le migliori pratiche di sviluppo web sconsigliano la riproduzione automatica dell'audio e sottolineano l'importanza dei controlli utente. Tuttavia, esistono ancora i CAPTCHA audio. Le persone con problemi di udito o non udenti possono incontrare ostacoli quando tentano questi test. Anche con la tecnologia assistiva, la distorsione audio intenzionale e il rumore di fondo rendono questi campioni difficili da comprendere per le persone con disturbi dell'elaborazione uditiva. Problemi legati alla motricità e alla destrezza I test che richiedono abilità motorie e di destrezza possono essere impegnativi per chi ha disabilità motorie o disabilità fisiche. Ad esempio, qualcuno con tremori alle mani potrebbe trovare difficili i puzzle scorrevoli. Inoltre, i test di classificazione delle immagini che caricano più immagini fino a quando non ne rimane nessuna che soddisfi i criteri, possono rappresentare una sfida. Problemi relativi alla cognizione e al linguaggio Poiché i CAPTCHA diventano sempre più complessi, alcuni sviluppatori si rivolgono a test che richiedono una combinazione di pensiero creativo e critico. Quelli che richiedono agli utenti di risolvere un problema di matematica o completare un puzzle possono essere impegnativi per le persone con dislessia, discalculia, disturbi dell'elaborazione visiva o disturbi cognitivi. Perché la tecnologia assistiva non colmerà il divario I CAPTCHA sono progettati intenzionalmente per essere interpretati e risolti dagli esseri umani, quindi le tecnologie assistive come i lettori di schermo e i controlli a mani libere potrebbero essere di scarso aiuto. ReCAPTCHA in particolare pone un problema perché analizza l'attività in background. Se contrassegna i dispositivi di accessibilità come bot, servirà un CAPTCHA potenzialmente inaccessibile. Anche se questa tecnologia potesse colmare il divario, gli sviluppatori web non dovrebbero aspettarselo. Gli standard di settore impongono che seguano principi di progettazione universali per rendere i propri siti Web quanto più accessibili e funzionali possibile. I problemi di accessibilità del CAPTCHA potrebbero essere perdonati se fosse uno strumento di sicurezza efficace, ma è tutt’altro che infallibile poiché i robot lo fanno più degli umani. Perché continuare ad utilizzare un metodo che è inefficace e crea barriere per le persone con disabilità? Ci sono alternative migliori. Principi per l'autenticazione accessibile L’idea che gli esseri umani debbano costantemente superare gli algoritmi è obsoleta. Esistono metodi di autenticazione migliori, come l'autenticazione a più fattori (MFA). Il mercato dell’autenticazione a due fattori varrà circa 26,7 miliardi di dollari entro il 2027, sottolineandone la popolarità. Questo strumentoè più efficace di un CAPTCHA perché impedisce l'accesso non autorizzato, anche con credenziali legittime.
Assicurati che la tua tecnica MFA sia accessibile. Invece di chiedere ai visitatori del sito di trascrivere codici complessi, dovresti inviare notifiche push o messaggi SMS. Affidati alla compilazione automatica del codice di verifica per acquisire e inserire automaticamente il codice. In alternativa, puoi introdurre una funzione “ricorda questo dispositivo” per saltare l’autenticazione sui dispositivi attendibili. L’approccio di autenticazione a due fattori di Apple è progettato in questo modo. Un dispositivo attendibile visualizza automaticamente un codice di verifica a sei cifre, quindi non è necessario cercarlo. Quando richiesto, gli utenti iPhone possono toccare il suggerimento visualizzato sopra la tastiera del cellulare per il riempimento automatico.
Un'altra opzione è il Single Sign-On. Questo servizio di autenticazione di sessione e utente consente alle persone di accedere a più siti Web o applicazioni con un unico set di credenziali di accesso, riducendo al minimo la necessità di ripetute verifiche dell'identità. I “collegamenti magici” monouso sono un’ottima alternativa a reCAPTCHA e ai PIN temporanei. Invece di ricordare un codice o risolvere un puzzle, l’utente fa clic su un pulsante. Evitare di imporre scadenze perché, secondo il Criterio di successo 2.2.3 delle WCAG, gli utenti non dovrebbero avere limiti di tempo poiché quelli con disabilità potrebbero aver bisogno di più tempo per completare azioni specifiche. In alternativa, potresti utilizzare Cloudflare Turnstile. Si autentica senza mostrare un CAPTCHA e la maggior parte delle persone non deve nemmeno selezionare una casella o premere un pulsante. Il software funziona lanciando una piccola sfida JavaScript dietro le quinte per distinguere automaticamente tra bot e umani. Cloudflare Turnstile può essere incorporato in qualsiasi sito web, rendendolo un'ottima alternativa alle attività di classificazione standard. Test e valutazione di progetti di autenticazione accessibili Testare e valutare i metodi di autenticazione alternativi accessibili è essenziale. Molti progetti sembrano belli sulla carta ma non funzionano nella pratica. Se possibile, raccogli feedback dagli utenti reali. Una beta aperta può essere un modo efficace per massimizzare la visibilità. Ricordate, le considerazioni generali sull’accessibilità non si applicano solo alle persone con disabilità. Includono anche coloro che sono neurodivergenti, che non hanno accesso a un dispositivo mobile o che utilizzano tecnologie assistive. Assicurati che i tuoi progetti alternativi tengano conto di questi individui.
Realisticamente, non è possibile creare un sistema perfetto poiché ognuno è unico. Molte persone hanno difficoltà a seguire processi multifase, risolvere equazioni, elaborare istruzioni complesse o ricordare i codici di accesso. Sebbene i principi universali del web design possano migliorare la flessibilità, nessuna singola soluzione può soddisfare le esigenze di tutti. Indipendentemente dalla tecnica di autenticazione utilizzata, è necessario presentare in anticipo agli utenti più opzioni di autenticazione. Conoscono meglio le proprie capacità, quindi lascia che siano loro a decidere cosa utilizzare invece di provare a progettare eccessivamente una soluzione che funzioni per ogni caso limite. Affrontare il problema dell'accessibilità con modifiche alla progettazione Una persona con tremori alle mani potrebbe non essere in grado di completare un puzzle scorrevole, mentre qualcuno con un disturbo di elaborazione audio potrebbe avere problemi con campioni audio distorti. Tuttavia, non è possibile sostituire semplicemente i CAPTCHA con alternative perché spesso sono ugualmente inaccessibili. I codici QR, ad esempio, potrebbero essere difficili da scansionare per chi ha un controllo motorio ridotto. Le persone con problemi di vista potrebbero avere difficoltà a trovarlo sullo schermo. Allo stesso modo, la biometria può rappresentare un problema per le persone con deformità facciali o con un raggio di movimento limitato. Affrontare il problema dell’accessibilità richiede un pensiero creativo. Puoi iniziare visitando i tutorial sull’accessibilità della Web Accessibility Initiative rivolti agli sviluppatori per comprendere meglio la progettazione universale. Sebbene questi tutorial si concentrino più sul contenuto che sull'autenticazione, puoi comunque utilizzarli a tuo vantaggio. La bozza di nota del gruppo W3C sull'inaccessibilità dei CAPTCHA fornisce indicazioni più pertinenti. Iniziare è facile come ricercare le migliori pratiche. Comprendere le nozioni di base è essenziale perché non esiste una soluzione universale per il web design accessibile. Se desideri ottimizzare l'accessibilità, valuta la possibilità di ottenere feedback dalle persone che visitano effettivamente il tuo sito web. Ulteriori letture
“Il CAPTCHA: prospettive e sfide”, Darko Brodić e Alessia Amelio "Progettare testo accessibile su immagini: migliori pratiche, tecniche e risorse", Hannah Milan "Alla ricerca del miglior CAPTCHA", David Bushell “Il modello di punteggio proposto dalle WCAG 3.0: un cambiamentonella valutazione dell’accessibilità”, Mikhail Prosmitskiy
