מבחן הטיורינג הציבורי האוטומטי לחלוטין להבדיל בין מחשבים לבני אדם (CAPTCHA) השתרש בגלישה באינטרנט מאז שהמחשבים האישיים צברו תאוצה בשוק האלקטרוניקה הצרכנית. כמעט כל עוד אנשים נכנסו לאינטרנט, מפתחי אתרים חיפשו דרכים לחסום בוטים של ספאם. שירות ה-CAPTCHA מבחין בין פעילות אנושית לבוט כדי להרחיק בוטים. למרבה הצער, השיטות שלה פחות מדוייקות. בניסיון להגן על בני אדם, מפתחים הפכו חלק גדול מהאינטרנט לבלתי נגיש לאנשים עם מוגבלויות.
שיטות אימות, כגון CAPTCHA, משתמשות בדרך כלל בסיווג תמונות, פאזלים, דגימות אודיו או בדיקות מבוססות קליקים כדי לקבוע אם המשתמש הוא אנושי. בעוד שסוגי האתגרים מתועדים היטב, ההיגיון שלהם אינו ידוע לציבור. אנשים יכולים רק לנחש מה נדרש כדי "להוכיח" שהם בני אדם.
מה זה CAPTCHA? CAPTCHA הוא מבחן טיורינג הפוך שלוקח צורה של מבחן אתגר-תגובה. לדוגמה, אם הוא מורה למשתמשים "לבחור את כל התמונות עם מדרגות", הם חייבים לבחור את המדרגות מתוך מעקות, שבילים ומעברי חצייה. לחלופין, ייתכן שהם יתבקשו להזין את הטקסט שהם רואים, להוסיף את סכום פני הקוביות או להשלים פאזל הזזה. CAPTCHA מבוססי תמונה אחראים לחוויות המשותפות המתסכלות ביותר שיש למשתמשי אינטרנט - ההחלטה אם לבחור ריבוע כאשר רק חלק קטן מהאובייקט המדובר נמצא בתוכו.
ללא קשר לשיטה, מחשב או אלגוריתם קובעים בסופו של דבר אם הנבחן הוא אדם או מכונה. שירות אימות זה הוליד שלוחות רבות, כולל reCAPTCHA ו-hCAPTCHA. זה אפילו הוביל ליצירת חברות שלמות, כמו GeeTest ו-Arkose Labs. המערכת האוטומטית reCAPTCHA בבעלות Google דורשת מהמשתמשים ללחוץ על תיבת סימון שכותרתה "אני לא רובוט" לצורך אימות. הוא מפעיל ניתוח אדפטיבי ברקע כדי להקצות ציון סיכון. hCAPTCHA היא חלופה מבוססת סיווג תמונה. שיטות אימות אחרות כוללות אימות רב-גורמי (MFA), קודי QR, מספרי זיהוי אישיים זמניים (PIN) וביומטריה. הם אינם פועלים לפי נוסחת האתגר-תגובה, אלא משרתים מטרות דומות ביסודו. השלבים הללו נועדו להיות טובים יותר מהמקור, אך לעתים קרובות הם אינם עומדים בתקני נגישות מודרניים. קחו למשל את hCaptcha, שמשתמשת בעוגייה כדי לאפשר לכם לעקוף לחלוטין את מבחן התגובה לאתגר. זה רעיון מצוין בתיאוריה, אבל זה לא עובד בפועל. אתה אמור לקבל קוד חד פעמי באימייל שאתה שולח למספר מסוים ב-SMS. משתמשים מדווחים על קבלת הודעות שגיאה אינסופיות, מה שמאלץ אותם להשלים את הטקסט הסטנדרטי CAPTCHA. זה זמין רק אם האתר איפשר זאת במפורש במהלך ההגדרה. אם הוא לא מוגדר, עליך להשלים אתגר תמונה שאינו מזהה קוראי מסך. גם כשהתהליך הראשוני עובד, האימות שלאחר מכן מסתמך על קובץ Cookie חוצה אתרים של צד שלישי, שרוב הדפדפנים חוסמים באופן אוטומטי. כמו כן, הקוד יפוג לאחר תקופה קצרה, כך שעליך לבצע מחדש את כל התהליך אם לוקח לך יותר מדי זמן לעבור לשלב הבא. מדוע צוותים משתמשים ב-CAPTCHA ובשיטות אימות דומות? CAPTCHA נפוץ מכיוון שקל להגדיר אותו. מפתחים יכולים לתכנת אותו להופיע, והוא עורך את הבדיקה באופן אוטומטי. בדרך זו, הם יכולים להתמקד בעניינים חשובים יותר תוך מניעת דואר זבל, הונאה וניצול לרעה. הכלים הללו אמורים להקל על בני אדם להשתמש באינטרנט בצורה בטוחה, אך לעתים קרובות הם מונעים מאנשים אמיתיים להיכנס. בדיקות אלו מביאות לחוויית משתמש גרועה בסך הכל. מחקר אחד מצא שמשתמשים בזבזו למעלה מ-819 מיליון שעות על למעלה מ-512 מיליארד הפעלות reCAPTCHA v2 נכון לשנת 2023. למרות הכל, הבוטים מנצחים. מודלים של למידת מכונה יכולים לפתור CAPTCHA מבוסס טקסט בתוך שברירי שנייה עם דיוק של למעלה מ-97%. מחקר משנת 2024 על reCAPTCHA v2 של גוגל - שעדיין נמצא בשימוש נרחב למרות השקת reCAPTCHA v3 - מצא כי בוטים יכולים לפתור את סיווג התמונות CAPTCHA עם דיוק של עד 100%, בהתאם לאובייקט שעליו מוטלת המשימה לזהות. החוקרים השתמשו במודל חינמי של קוד פתוח, מה שאומר ששחקנים גרועים יכלו בקלות לשחזר את עבודתם. מדוע על מפתחי אינטרנט להפסיק להשתמש ב-CAPTCHA? לשיטות אימות כמו CAPTCHA יש בעיית נגישות. התקדמות למידת המכונה אילצה את השירותים הללו לגדול יותר ויותר מורכבים. אפילו עדיין, הם לא חסינים בפני תקלות. בוטים מקבליםזה נכון יותר ממה שאנשים עושים. מחקרים מראים שהם יכולים להשלים את reCAPTCHA תוך 17.5 שניות, ולהשיג דיוק של 85%. לבני אדם לוקח יותר זמן והם פחות מדויקים. אנשים רבים נכשלים במבחני CAPTCHA ואין להם מושג מה הם עשו לא בסדר. לדוגמה, הנחיה המורה למשתמשים "לבחור את כל הריבועים עם הרמזורים" נראית פשוטה מספיק, אבל זה מסתבך אם רסיס מהעמוד נמצא בריבוע אחר. האם הם צריכים לבחור את התיבה הזו, או שזה מה שאלגוריתם יעשה? למרות שיכולות הבוט גדלו בהיקפים, בני האדם נשארו אותו דבר. ככל שהבדיקות נעשות קשות יותר ויותר, הם מרגישים פחות נטייה לנסות אותם. סקר אחד מראה שכמעט 59% מהאנשים יפסיקו להשתמש במוצר לאחר מספר חוויות רעות. אם האימות מסורבל או מורכב מדי, הם עלולים להפסיק להשתמש באתר לחלוטין. אנשים יכולים להיכשל במבחנים אלה מסיבות שונות, כולל טכניות. אם הם חוסמים קובצי Cookie של צד שלישי, פועל פרוקסי מקומי, או לא עדכנו את הדפדפן שלהם במשך זמן מה, הם עלולים להמשיך להיכשל, ללא קשר למספר הפעמים שהם ינסו. בעיות אימות עם CAPTCHA בשל הסיבות שהוזכרו לעיל, רוב סוגי ה-CAPTCHA אינם נגישים מטבעם. זה נכון במיוחד עבור אנשים עם מוגבלות, שכן מבחני אתגר-תגובה אלו לא תוכננו עם הצרכים שלהם בחשבון. חלק מהבעיות הנפוצות כוללות את הדברים הבאים: בעיות הקשורות לחזות ושימוש בקוראי מסך קוראי מסך אינם יכולים לקרוא CAPTCHA חזותיים סטנדרטיים, כגון מבחן הטקסט המעוות, מכיוון שהמילים המבולבלות והמעוותות אינן קריאות במכונה. שיטות סיווג התמונות והפאזל ההזזה אינן נגישות באופן דומה. בסקר WebAIM אחד שנערך בין 2023 ל-2024, משתמשי קוראי מסך הסכימו ש-CAPTCHA הוא הפריט הבעייתי ביותר, ודירגו אותו מעל קישורים מעורפלים, שינויים בלתי צפויים במסך, חסר טקסט חלופי, חיפוש לא נגיש וחוסר נגישות למקלדת. מיקומו בפסגה נותר כמעט ללא שינוי במשך יותר מעשור, מה שממחיש את ההיסטוריה של חוסר הנגישות שלו. בעיות הקשורות לשמיעה ועיבוד אודיו CAPTCHA של אודיו נדיר יחסית מכיוון ששיטות עבודה מומלצות לפיתוח אתרים מייעצות שלא להפעיל אודיו אוטומטית ומדגישות את החשיבות של בקרות המשתמש. עם זאת, CAPTCHA אודיו עדיין קיימים. אנשים כבדי שמיעה או חירשים עלולים להיתקל במחסום בעת ניסיון בדיקות אלו. אפילו עם טכנולוגיה מסייעת, עיוות האודיו המכוון ורעשי הרקע הופכים את הדגימות הללו למאתגרות עבור אנשים עם הפרעות בעיבוד שמיעתי. בעיות הקשורות למוטור ולמיומנות מבחנים הדורשים מיומנויות מוטוריות וזריזות יכולים להיות מאתגרים עבור אלו עם ליקויים מוטוריים או מוגבלויות פיזיות. לדוגמה, מישהו עם רעד ביד עלול למצוא קושי בחידות ההחלקה. כמו כן, מבחני סיווג התמונות הטוענים יותר תמונות עד שלא נותרה אף אחת שתתאים לקריטריונים עשויים להוות אתגר. סוגיות הקשורות לקוגניציה ולשפה ככל ש-CAPTCHA הופכים מורכבים יותר ויותר, חלק מהמפתחים פונים למבחנים הדורשים שילוב של חשיבה יצירתית וביקורתית. אלה שדורשים מהמשתמשים לפתור בעיה מתמטית או להשלים פאזל יכולים להיות מאתגרים עבור אנשים עם דיסלקציה, דיסקלקוליה, הפרעות בעיבוד חזותי או ליקויים קוגניטיביים. מדוע טכנולוגיה מסייעת לא תגשר על הפער CAPTCHA נועדו בכוונה לבני אדם לפרש ולפתור, כך שטכנולוגיה מסייעת כמו קוראי מסך ובקרות דיבורית עשויה לעזור מעט. ReCAPTCHA במיוחד מהווה בעיה מכיוון שהוא מנתח פעילות רקע. אם הוא מסמן את מכשירי הנגישות כרובוטים, הוא ישרת CAPTCHA שעלול להיות בלתי נגיש. גם אם הטכנולוגיה הזו יכולה לגשר על הפער, מפתחי אתרים לא צריכים לצפות כך. תקני התעשייה מכתיבים שהם צריכים לפעול לפי עקרונות עיצוב אוניברסליים כדי להפוך את אתרי האינטרנט שלהם לנגישים ופונקציונליים ככל האפשר. ניתן היה לסלוח על בעיות הנגישות של CAPTCHA אם זה היה כלי אבטחה יעיל, אבל זה רחוק מלהיות חסין תקלות מכיוון שבוטים מבינים את זה יותר מבני אדם. מדוע להמשיך להשתמש בשיטה שאינה יעילה ויוצרת חסמים עבור אנשים עם מוגבלות? יש חלופות טובות יותר. עקרונות לאימות נגיש הרעיון שבני אדם צריכים לעלות על אלגוריתמים באופן עקבי הוא מיושן. קיימות שיטות אימות טובות יותר, כגון אימות רב-גורמי (MFA). שוק האימות הדו-גורמי יעמוד על שווי מוערך של 26.7 מיליארד דולר עד 2027, מה שמדגיש את הפופולריות שלו. הכלי הזהיעיל יותר מ-CAPTCHA מכיוון שהוא מונע גישה לא מורשית, אפילו עם אישורים לגיטימיים.
ודא שטכניקת MFA שלך נגישה. במקום לאפשר למבקרים באתר לתמלל קודים מורכבים, עליך לשלוח הודעות דחיפה או הודעות SMS. הסתמכו על המילוי האוטומטי של קוד האימות כדי ללכוד ולהזין את הקוד באופן אוטומטי. לחלופין, אתה יכול להציג תכונה "זכור את המכשיר הזה" כדי לדלג על אימות במכשירים מהימנים. גישת האימות הדו-גורמי של אפל מתוכננת כך. מכשיר מהימן מציג אוטומטית קוד אימות בן שש ספרות, כך שהם לא צריכים לחפש אותו. כאשר תתבקש, משתמשי iPhone יכולים להקיש על ההצעה שמופיעה מעל המקלדת הניידת שלהם למילוי אוטומטי.
כניסה יחידה היא אפשרות נוספת. שירות זה של הפעלה ואימות משתמשים מאפשר לאנשים להיכנס למספר אתרים או יישומים עם קבוצה אחת של אישורי כניסה, ולמזער את הצורך באימות זהות חוזר. "קישורי קסם" חד-פעמיים הם אלטרנטיבה מצוינת ל-reCAPTCHA ו-PIN זמני. במקום לזכור קוד או לפתור חידה, המשתמש לוחץ על כפתור. הימנע מהטלת מועדים מכיוון שעל פי קריטריון ההצלחה של WCAG 2.2.3, משתמשים לא צריכים לעמוד במגבלות זמן מכיוון שאלו עם מוגבלויות עשויים להזדקק ליותר זמן כדי לבצע פעולות ספציפיות. לחלופין, אתה יכול להשתמש ב-Cloudflare Turnstile. זה מאמת מבלי להציג CAPTCHA, ורוב האנשים אף פעם לא צריכים אפילו לסמן תיבה או ללחוץ על כפתור. התוכנה פועלת על ידי הוצאת אתגר JavaScript קטן מאחורי הקלעים כדי להבדיל אוטומטית בין בוטים לבני אדם. ניתן להטמיע את Cloudflare Turnstile בכל אתר אינטרנט, מה שהופך אותו לחלופה מצוינת למשימות סיווג סטנדרטיות. בדיקה והערכה של עיצובי אימות נגישים בדיקה והערכה של שיטות האימות החלופיות הנגישות שלך היא חיונית. עיצובים רבים נראים טוב על הנייר אבל לא עובדים בפועל. אם אפשר, אסוף משוב ממשתמשים בפועל. בטא פתוח עשויה להיות דרך יעילה למקסם את הנראות. זכרו, שיקולי נגישות כלליים אינם חלים רק על אנשים עם מוגבלויות. הם כוללים גם כאלה שהם נוירודיברגנטים, חסרי גישה למכשיר נייד או משתמשים בטכנולוגיה מסייעת. ודא שהעיצובים החלופיים שלך מתחשבים באנשים אלה.
באופן מציאותי, אתה לא יכול ליצור מערכת מושלמת מכיוון שכל אחד הוא ייחודי. אנשים רבים נאבקים לעקוב אחר תהליכים מרובי שלבים, לפתור משוואות, לעבד הוראות מורכבות או לזכור קודי גישה. בעוד שעקרונות עיצוב אתרים אוניברסליים יכולים לשפר את הגמישות, אין פתרון אחד שיכול לענות על הצרכים של כולם. ללא קשר לטכניקת האימות שבה אתה משתמש, עליך להציג למשתמשים אפשרויות אימות מרובות מראש. הם מכירים את היכולות שלהם בצורה הטובה ביותר, אז תן להם להחליט במה להשתמש במקום לנסות להנדס יתר על המידה פתרון שעובד עבור כל מקרה קצה. לטפל בבעיית הנגישות עם שינויי עיצוב אדם עם רעידות ידיים עשוי שלא להשלים פאזל החלקה, בעוד שמישהו עם הפרעת עיבוד אודיו עשוי להיתקל בבעיות עם דגימות אודיו מעוותות. עם זאת, אתה לא יכול פשוט להחליף CAPTCHA בחלופות מכיוון שלעתים קרובות הם לא נגישים באותה מידה. קודי QR, למשל, עשויים להיות קשים לסריקה עבור אלו עם שליטה מופחתת במוטוריקה עדינה. אנשים לקויי ראייה עשויים להתקשות למצוא אותו על המסך. באופן דומה, ביומטריה יכולה להוות בעיה עבור אנשים עם עיוותים בפנים או טווח תנועה מוגבל. טיפול בבעיית הנגישות דורש חשיבה יצירתית. אתה יכול להתחיל בביקור במדריכי הנגישות של יוזמת נגישות האינטרנט למפתחים כדי להבין טוב יותר עיצוב אוניברסלי. למרות שמדריכים אלה מתמקדים יותר בתוכן מאשר באימות, אתה עדיין יכול להשתמש בהם לטובתך. הערת טיוטת קבוצת W3C על חוסר הנגישות של CAPTCHA מספקת הנחיות רלוונטיות יותר. תחילת העבודה היא קלה כמו לחקור שיטות עבודה מומלצות. הבנת היסודות חיונית מכיוון שאין פתרון אוניברסלי לעיצוב אתרים נגיש. אם אתה רוצה לייעל את הנגישות, שקול לקבל משוב מהאנשים שבאמת מבקרים באתר שלך. קריאה נוספת
"ה-CAPTCHA: פרספקטיבות ואתגרים", דארקו ברודיץ' ואליסיה אמליו "עיצוב טקסט נגיש על פני תמונות: שיטות עבודה מומלצות, טכניקות ומשאבים", חנה מילאן "בחיפוש אחר ה-CAPTCHA הטוב ביותר," דיוויד בושל "מודל הניקוד המוצע של WCAG 3.0: שינויבהערכת נגישות", מיכאיל פרוסמיטסקי
