Der vollständig automatisierte öffentliche Turing-Test zur Unterscheidung von Computern und Menschen (CAPTCHA) ist beim Surfen im Internet fest verankert, seit PCs auf dem Markt für Unterhaltungselektronik an Bedeutung gewonnen haben. Fast genauso lange, wie Menschen online gehen, suchen Webentwickler nach Möglichkeiten, Spam-Bots zu blockieren. Der CAPTCHA-Dienst unterscheidet zwischen menschlichen und Bot-Aktivitäten, um Bots fernzuhalten. Leider sind seine Methoden nicht präzise. Um Menschen zu schützen, haben Entwickler einen Großteil des Webs für Menschen mit Behinderungen unzugänglich gemacht.
Authentifizierungsmethoden wie CAPTCHA verwenden typischerweise Bildklassifizierung, Rätsel, Audiobeispiele oder klickbasierte Tests, um festzustellen, ob der Benutzer ein Mensch ist. Obwohl die Art der Herausforderungen gut dokumentiert ist, ist ihre Logik nicht öffentlich bekannt. Die Menschen können nur raten, was nötig ist, um zu „beweisen“, dass sie ein Mensch sind.
Was ist CAPTCHA? Ein CAPTCHA ist ein umgekehrter Turing-Test in Form eines Challenge-Response-Tests. Wenn Benutzer beispielsweise angewiesen werden, „alle Bilder mit Treppen auszuwählen“, müssen sie die Treppen aus Geländern, Einfahrten und Zebrastreifen auswählen. Alternativ können sie aufgefordert werden, den angezeigten Text einzugeben, die Summe der Würfelflächen zu addieren oder ein Schiebepuzzle zu lösen. Bildbasierte CAPTCHAs sind für die frustrierendsten gemeinsamen Erfahrungen von Internetnutzern verantwortlich – die Entscheidung, ob sie ein Quadrat auswählen sollen, wenn sich nur ein kleiner Ausschnitt des betreffenden Objekts darin befindet.
Unabhängig von der Methode bestimmt letztlich ein Computer oder Algorithmus, ob es sich bei dem Testteilnehmer um einen Menschen oder eine Maschine handelt. Dieser Authentifizierungsdienst hat viele Ableger hervorgebracht, darunter reCAPTCHA und hCAPTCHA. Es hat sogar zur Gründung ganzer Unternehmen wie GeeTest und Arkose Labs geführt. Das Google-eigene automatisierte System reCAPTCHA erfordert, dass Benutzer zur Authentifizierung ein Kontrollkästchen mit der Aufschrift „Ich bin kein Roboter“ anklicken. Es führt im Hintergrund eine adaptive Analyse durch, um eine Risikobewertung zuzuweisen. hCAPTCHA ist eine auf Bildklassifizierung basierende Alternative. Zu den weiteren Authentifizierungsmethoden gehören die Multi-Faktor-Authentifizierung (MFA), QR-Codes, temporäre persönliche Identifikationsnummern (PINs) und biometrische Daten. Sie folgen nicht der Challenge-Response-Formel, dienen aber grundsätzlich ähnlichen Zwecken. Diese Ableger sollen besser sein als das Original, erfüllen jedoch oft nicht die modernen Standards der Barrierefreiheit. Nehmen wir zum Beispiel hCaptcha, das mithilfe eines Cookies den Challenge-Response-Test vollständig umgehen kann. Theoretisch ist das eine tolle Idee, aber in der Praxis funktioniert es nicht. Sie sollten einen Einmalcode per E-Mail erhalten, den Sie per SMS an eine bestimmte Nummer senden. Benutzer berichten, dass sie endlose Fehlermeldungen erhalten, die sie dazu zwingen, das Standardtext-CAPTCHA auszufüllen. Dies ist nur verfügbar, wenn die Site dies während der Konfiguration explizit aktiviert hat. Wenn es nicht eingerichtet ist, müssen Sie einen Bildtest absolvieren, der keine Bildschirmleseprogramme erkennt. Auch wenn der anfängliche Vorgang funktioniert, basiert die nachfolgende Authentifizierung auf einem Cross-Site-Cookie eines Drittanbieters, das die meisten Browser automatisch blockieren. Außerdem läuft der Code nach kurzer Zeit ab, sodass Sie den gesamten Vorgang wiederholen müssen, wenn es zu lange dauert, mit dem nächsten Schritt fortzufahren. Warum verwenden Teams CAPTCHA und ähnliche Authentifizierungsmethoden? CAPTCHA ist weit verbreitet, da es einfach einzurichten ist. Entwickler können es so programmieren, dass es angezeigt wird, und es führt den Test automatisch durch. Auf diese Weise können sie sich auf wichtigere Dinge konzentrieren und gleichzeitig Spam, Betrug und Missbrauch verhindern. Diese Tools sollen es Menschen einfacher machen, das Internet sicher zu nutzen, aber sie halten echte Menschen oft davon ab, sich einzuloggen. Diese Tests führen insgesamt zu einer schlechten Benutzererfahrung. Eine Studie ergab, dass Benutzer im Jahr 2023 über 819 Millionen Stunden mit über 512 Milliarden reCAPTCHA v2-Sitzungen verschwendet haben. Trotz allem überwiegen Bots. Modelle des maschinellen Lernens können textbasierte CAPTCHAs innerhalb von Sekundenbruchteilen mit einer Genauigkeit von über 97 % lösen. Eine Studie aus dem Jahr 2024 zu reCAPTCHA v2 von Google – das trotz der Einführung von reCAPTCHA v3 immer noch weit verbreitet ist – ergab, dass Bots Bildklassifizierungs-CAPTCHAs mit einer Genauigkeit von bis zu 100 % lösen können, je nachdem, welches Objekt sie identifizieren sollen. Die Forscher verwendeten ein kostenloses Open-Source-Modell, was bedeutet, dass böswillige Akteure ihre Arbeit leicht reproduzieren konnten. Warum sollten Webentwickler auf die Verwendung von CAPTCHA verzichten? Authentifizierungsmethoden wie CAPTCHA weisen ein Barrierefreiheitsproblem auf. Fortschritte im Bereich des maschinellen Lernens führten dazu, dass diese Dienste immer komplexer wurden. Trotzdem sind sie nicht narrensicher. Bots bekommenEs stimmt mehr als die Leute. Untersuchungen zeigen, dass sie reCAPTCHA innerhalb von 17,5 Sekunden abschließen können und dabei eine Genauigkeit von 85 % erreichen. Menschen brauchen länger und sind weniger genau. Viele Menschen fallen bei CAPTCHA-Tests durch und haben keine Ahnung, was sie falsch gemacht haben. Beispielsweise scheint eine Aufforderung, die Benutzer anweist, „alle Felder mit Ampeln auszuwählen“, einfach zu sein, wird jedoch kompliziert, wenn sich ein Stück der Stange in einem anderen Feld befindet. Sollten sie dieses Kästchen auswählen, oder würde das ein Algorithmus tun? Obwohl die Bot-Fähigkeiten enorm zugenommen haben, sind die Menschen gleich geblieben. Je schwieriger die Prüfungen werden, desto weniger geneigt sind sie, sich an ihnen zu versuchen. Eine Umfrage zeigt, dass fast 59 % der Menschen nach mehreren schlechten Erfahrungen die Verwendung eines Produkts einstellen. Wenn die Authentifizierung zu umständlich oder komplex ist, kann es sein, dass sie die Website nicht mehr nutzen. Menschen können diese Tests aus verschiedenen Gründen, auch technischen, nicht bestehen. Wenn sie Cookies von Drittanbietern blockieren, einen lokalen Proxy ausführen oder ihren Browser längere Zeit nicht aktualisiert haben, kann es sein, dass sie weiterhin scheitern, unabhängig davon, wie oft sie es versuchen. Authentifizierungsprobleme mit CAPTCHA Aus den oben genannten Gründen sind die meisten CAPTCHA-Typen grundsätzlich nicht zugänglich. Dies gilt insbesondere für Menschen mit Behinderungen, da diese Challenge-Response-Tests nicht auf ihre Bedürfnisse zugeschnitten sind. Zu den häufigsten Problemen gehören die folgenden: Probleme im Zusammenhang mit visuellen Elementen und der Verwendung von Screenreadern Bildschirmleseprogramme können standardmäßige visuelle CAPTCHAs, wie z. B. den Test für verzerrten Text, nicht lesen, da die durcheinandergebrachten, verzerrten Wörter nicht maschinenlesbar sind. Die Bildklassifizierungs- und Schiebepuzzle-Methoden sind ebenfalls unzugänglich. In einer WebAIM-Umfrage, die von 2023 bis 2024 durchgeführt wurde, stimmten Benutzer von Bildschirmlesegeräten darin überein, dass CAPTCHA das problematischste Element sei, und rangierten es vor mehrdeutigen Links, unerwarteten Bildschirmänderungen, fehlendem Alt-Text, unzugänglicher Suche und mangelnder Tastaturzugänglichkeit. Sein Platz an der Spitze ist seit über einem Jahrzehnt weitgehend unverändert geblieben, was seine Geschichte der Unzugänglichkeit verdeutlicht. Probleme im Zusammenhang mit Hören und Audioverarbeitung Audio-CAPTCHAs sind relativ selten, da Best Practices für die Webentwicklung von der automatischen Audiowiedergabe abraten und die Bedeutung von Benutzerkontrollen betonen. Es gibt jedoch weiterhin Audio-CAPTCHAs. Menschen, die schwerhörig oder taub sind, können bei diesen Tests auf ein Hindernis stoßen. Selbst mit unterstützender Technologie machen die absichtliche Audioverzerrung und die Hintergrundgeräusche es für Personen mit Hörverarbeitungsstörungen schwierig, diese Proben zu verstehen. Probleme im Zusammenhang mit Motorik und Geschicklichkeit Prüfungen, die motorische und geschickte Fähigkeiten erfordern, können für Personen mit motorischen oder körperlichen Einschränkungen eine Herausforderung darstellen. Beispielsweise kann es für jemanden mit zitternden Händen schwierig sein, Schiebepuzzles zu lösen. Auch die Bildklassifizierungstests, bei denen mehr Bilder geladen werden, bis keine Bilder mehr übrig sind, die den Kriterien entsprechen, können eine Herausforderung darstellen. Probleme im Zusammenhang mit Kognition und Sprache Da CAPTCHAs immer komplexer werden, wenden sich einige Entwickler Tests zu, die eine Kombination aus kreativem und kritischem Denken erfordern. Diejenigen, bei denen Benutzer eine mathematische Aufgabe lösen oder ein Rätsel lösen müssen, können für Menschen mit Legasthenie, Dyskalkulie, Sehstörungen oder kognitiven Beeinträchtigungen eine Herausforderung darstellen. Warum unterstützende Technologien diese Lücke nicht schließen können CAPTCHAs sind absichtlich so konzipiert, dass sie von Menschen interpretiert und gelöst werden können, sodass unterstützende Technologien wie Bildschirmlesegeräte und Freisprechsteuerung möglicherweise wenig hilfreich sind. Insbesondere ReCAPTCHA stellt ein Problem dar, da es Hintergrundaktivitäten analysiert. Wenn die barrierefreien Geräte als Bots gekennzeichnet werden, wird ein möglicherweise unzugängliches CAPTCHA bereitgestellt. Selbst wenn diese Technologie diese Lücke schließen könnte, sollten Webentwickler nicht damit rechnen. Branchenstandards schreiben vor, dass sie universelle Designprinzipien befolgen sollten, um ihre Websites so zugänglich und funktional wie möglich zu gestalten. Die Barrierefreiheitsprobleme von CAPTCHA könnten verzeiht werden, wenn es ein wirksames Sicherheitstool wäre, aber es ist alles andere als narrensicher, da Bots es besser machen als Menschen. Warum weiterhin eine Methode anwenden, die ineffektiv ist und Barrieren für Menschen mit Behinderungen schafft? Es gibt bessere Alternativen. Grundsätze für die barrierefreie Authentifizierung Die Vorstellung, dass Menschen Algorithmen stets übertreffen sollten, ist überholt. Es gibt bessere Authentifizierungsmethoden, beispielsweise die Multifaktor-Authentifizierung (MFA). Der Markt für Zwei-Faktor-Authentifizierung wird bis 2027 einen geschätzten Wert von 26,7 Milliarden US-Dollar haben, was seine Beliebtheit unterstreicht. Dieses Werkzeugist effektiver als ein CAPTCHA, da es unbefugten Zugriff verhindert, selbst mit legitimen Anmeldeinformationen.
Stellen Sie sicher, dass Ihre MFA-Technik zugänglich ist. Anstatt Website-Besucher komplexe Codes umschreiben zu lassen, sollten Sie Push-Benachrichtigungen oder SMS-Nachrichten versenden. Verlassen Sie sich auf das automatische Ausfüllen des Bestätigungscodes, um den Code automatisch zu erfassen und einzugeben. Alternativ können Sie die Funktion „Dieses Gerät merken“ einführen, um die Authentifizierung auf vertrauenswürdigen Geräten zu überspringen. Der Zwei-Faktor-Authentifizierungsansatz von Apple ist auf diese Weise konzipiert. Ein vertrauenswürdiges Gerät zeigt automatisch einen sechsstelligen Bestätigungscode an, sodass keine Suche danach erforderlich ist. Wenn iPhone-Benutzer dazu aufgefordert werden, können sie zum automatischen Ausfüllen auf den Vorschlag tippen, der über ihrer mobilen Tastatur angezeigt wird.
Single Sign-On ist eine weitere Option. Dieser Sitzungs- und Benutzerauthentifizierungsdienst ermöglicht es Benutzern, sich mit einem einzigen Satz Anmeldeinformationen bei mehreren Websites oder Anwendungen anzumelden, wodurch die Notwendigkeit einer wiederholten Identitätsprüfung minimiert wird. Einmalig verwendbare „magische Links“ sind eine hervorragende Alternative zu reCAPTCHA und temporären PINs. Anstatt sich einen Code zu merken oder ein Rätsel zu lösen, klickt der Benutzer auf eine Schaltfläche. Vermeiden Sie die Festlegung von Fristen, da Benutzer gemäß WCAG-Erfolgskriterium 2.2.3 nicht mit Zeitbeschränkungen konfrontiert werden sollten, da Menschen mit Behinderungen möglicherweise mehr Zeit benötigen, um bestimmte Aktionen abzuschließen. Alternativ können Sie Cloudflare Turnstile verwenden. Die Authentifizierung erfolgt ohne Anzeige eines CAPTCHAs und die meisten Benutzer müssen nicht einmal ein Kästchen ankreuzen oder eine Schaltfläche drücken. Die Software funktioniert, indem sie hinter den Kulissen eine kleine JavaScript-Aufforderung ausgibt, um automatisch zwischen Bots und Menschen zu unterscheiden. Cloudflare Turnstile kann in jede Website eingebettet werden und ist damit eine hervorragende Alternative zu Standardklassifizierungsaufgaben. Prüfung und Bewertung barrierefreier Authentifizierungsdesigns Das Testen und Bewerten Ihrer verfügbaren alternativen Authentifizierungsmethoden ist unerlässlich. Viele Designs sehen auf dem Papier gut aus, funktionieren aber in der Praxis nicht. Holen Sie nach Möglichkeit Feedback von tatsächlichen Benutzern ein. Eine offene Beta kann eine effektive Möglichkeit sein, die Sichtbarkeit zu maximieren. Denken Sie daran, dass allgemeine Überlegungen zur Barrierefreiheit nicht nur für Menschen mit Behinderungen gelten. Dazu gehören auch diejenigen, die neurodivergent sind, keinen Zugang zu einem mobilen Gerät haben oder unterstützende Technologien nutzen. Stellen Sie sicher, dass Ihre alternativen Designs diese Personen berücksichtigen.
Realistisch gesehen kann man kein perfektes System schaffen, da jeder Mensch einzigartig ist. Vielen Menschen fällt es schwer, mehrstufigen Prozessen zu folgen, Gleichungen zu lösen, komplexe Anweisungen zu verarbeiten oder sich Passcodes zu merken. Obwohl universelle Webdesign-Prinzipien die Flexibilität verbessern können, kann keine einzelne Lösung alle Anforderungen erfüllen. Unabhängig von der von Ihnen verwendeten Authentifizierungstechnik sollten Sie den Benutzern im Voraus mehrere Authentifizierungsoptionen anbieten. Sie kennen ihre Fähigkeiten am besten, also lassen Sie sie entscheiden, was sie verwenden, anstatt zu versuchen, eine Lösung zu überarbeiten, die für jeden Grenzfall funktioniert. Beheben Sie das Problem der Barrierefreiheit mit Designänderungen Eine Person mit Handzittern ist möglicherweise nicht in der Lage, ein Schiebepuzzle zu lösen, während jemand mit einer Audioverarbeitungsstörung möglicherweise Probleme mit verzerrten Audiobeispielen hat. Sie können CAPTCHAs jedoch nicht einfach durch Alternativen ersetzen, da diese oft ebenfalls unzugänglich sind. Beispielsweise können QR-Codes für Personen mit eingeschränkter Feinmotorik schwierig zu scannen sein. Menschen mit einer Sehbehinderung haben möglicherweise Schwierigkeiten, es auf dem Bildschirm zu finden. Ebenso kann die Biometrie für Menschen mit Gesichtsdeformationen oder eingeschränkter Bewegungsfreiheit ein Problem darstellen. Die Lösung des Barrierefreiheitsproblems erfordert kreatives Denken. Sie können damit beginnen, die Barrierefreiheits-Tutorials der Web Accessibility Initiative für Entwickler zu besuchen, um Universal Design besser zu verstehen. Obwohl sich diese Tutorials mehr auf den Inhalt als auf die Authentifizierung konzentrieren, können Sie sie dennoch zu Ihrem Vorteil nutzen. Der W3C Group Draft Note on the Inaccessibility of CAPTCHA bietet relevantere Leitlinien. Der Einstieg ist so einfach wie die Recherche nach Best Practices. Das Verständnis der Grundlagen ist unerlässlich, da es keine universelle Lösung für barrierefreies Webdesign gibt. Wenn Sie die Barrierefreiheit optimieren möchten, sollten Sie in Betracht ziehen, Feedback von den Personen einzuholen, die Ihre Website tatsächlich besuchen. Weiterführende Literatur
„Das CAPTCHA: Perspektiven und Herausforderungen“, Darko Brodić und Alessia Amelio „Entwerfen von barrierefreiem Text über Bildern: Best Practices, Techniken und Ressourcen“, Hannah Milan „Auf der Suche nach dem besten CAPTCHA“, David Bushell „Das von WCAG 3.0 vorgeschlagene Bewertungsmodell: Ein Wandelin Accessibility Evaluation“, Mikhail Prosmitskiy
