A Completely Automated Public Turing-teszt a számítógépek és az emberek megkülönböztetésére (CAPTCHA) beépült az internetes böngészésbe, amióta a személyi számítógépek lendületet kaptak a szórakoztatóelektronikai piacon. Csaknem amióta az emberek online vannak, a webfejlesztők keresték a lehetőségeket a spamrobotok blokkolására. A CAPTCHA szolgáltatás különbséget tesz az emberi és a bot tevékenység között, hogy távol tartsa a robotokat. Sajnos módszerei kevésbé pontosak. Az emberek védelme érdekében a fejlesztők a web nagy részét elérhetetlenné tették a fogyatékkal élők számára.
Az olyan hitelesítési módszerek, mint a CAPTCHA, általában képbesorolást, rejtvényeket, hangmintákat vagy kattintáson alapuló teszteket használnak annak megállapítására, hogy a felhasználó ember-e. Bár a kihívások típusai jól dokumentáltak, logikájuk nem köztudott. Az emberek csak sejthetik, mi kell ahhoz, hogy „bizonyítsák”, hogy emberek.
Mi az a CAPTCHA? A CAPTCHA egy fordított Turing-teszt, amely kihívás-válasz teszt formáját ölti. Például, ha arra utasítja a felhasználókat, hogy „válasszák ki az összes olyan képet, amelyen vannak lépcsők”, akkor ki kell választaniuk a lépcsőt a korlátokról, felhajtókról és átkelőhelyekről. Alternatív megoldásként megkérhetik őket, hogy írják be a látott szöveget, add hozzá a kockalapok összegét, vagy töltsenek ki egy csúszó rejtvényt. A képalapú CAPTCHA-k felelősek az internetfelhasználók legfrissebb közös élményeiért – eldöntik, hogy kiválasztanak-e egy négyzetet, amikor a kérdéses objektumnak csak egy kis része van benne.
Függetlenül a módszertől, egy számítógép vagy algoritmus végső soron meghatározza, hogy a tesztet végrehajtó ember-e vagy gép. Ez a hitelesítési szolgáltatás számos mellékágat szült, köztük a reCAPTCHA-t és a hCAPTCHA-t. Ez még egész vállalatok létrehozásához is vezetett, mint például a GeeTest és az Arkose Labs. A Google tulajdonában lévő reCAPTCHA automatizált rendszer megköveteli a felhasználóktól, hogy a hitelesítéshez egy „Nem vagyok robot” jelölőnégyzetre kattintsanak. A háttérben adaptív elemzést futtat a kockázati pontszám hozzárendeléséhez. A hCAPTCHA egy képbesoroláson alapuló alternatíva. Egyéb hitelesítési módszerek közé tartozik a többtényezős hitelesítés (MFA), a QR-kódok, az ideiglenes személyi azonosító számok (PIN-kódok) és a biometrikus adatok. Nem a kihívás-válasz képletet követik, hanem alapvetően hasonló célokat szolgálnak. Ezeket a hajtásokat az eredetinél jobbnak szánják, de gyakran nem felelnek meg a modern akadálymentesítési szabványoknak. Vegyük például a hCaptcha-t, amely cookie-t használ a kihívás-válasz teszt teljes megkerülésére. Elméletileg jó ötlet, de a gyakorlatban nem működik. Egyszeri kódot kell kapnia e-mailben, amelyet SMS-ben küld el egy adott számra. A felhasználók arról számolnak be, hogy végtelen számú hibaüzenetet kaptak, és a szabványos CAPTCHA szöveg kitöltésére kényszerítik őket. Ez csak akkor érhető el, ha a webhely kifejezetten engedélyezte a konfiguráció során. Ha nincs beállítva, akkor teljesítenie kell egy képfeladatot, amely nem ismeri fel a képernyőolvasókat. Még akkor is, ha a kezdeti folyamat működik, a későbbi hitelesítés harmadik féltől származó, webhelyek közötti cookie-n alapul, amelyet a legtöbb böngésző automatikusan blokkol. Ezenkívül a kód rövid idő elteltével lejár, ezért a teljes folyamatot újra kell végeznie, ha túl sokáig tart a következő lépésre való ugrás. Miért használnak a csapatok CAPTCHA-t és hasonló hitelesítési módszereket? A CAPTCHA gyakori, mert könnyen beállítható. A fejlesztők beprogramozhatják, hogy megjelenjen, és automatikusan elvégzi a tesztet. Így a fontosabb dolgokra összpontosíthatnak, miközben továbbra is megakadályozzák a spameket, a csalásokat és a visszaéléseket. Ezek az eszközök állítólag megkönnyítik az emberek biztonságos internethasználatát, de gyakran megakadályozzák, hogy valódi emberek jelentkezzenek be. Ezek a tesztek összességében rossz felhasználói élményt eredményeznek. Egy tanulmány szerint a felhasználók több mint 819 millió órát vesztegettek több mint 512 milliárd reCAPTCHA v2-munkamenetre 2023-ban. Mindezek ellenére a robotok győznek. A gépi tanulási modellek a másodperc töredéke alatt, több mint 97%-os pontossággal képesek megoldani a szöveges CAPTCHA-t. Egy 2024-es tanulmány a Google reCAPTCHA v2-jéről – amelyet a reCAPTCHA v3 bevezetése ellenére még mindig széles körben használnak – megállapította, hogy a robotok akár 100%-os pontossággal is képesek megoldani a CAPTCHA képbesorolást, attól függően, hogy milyen objektum azonosításával bízták meg őket. A kutatók ingyenes, nyílt forráskódú modellt használtak, ami azt jelenti, hogy a rossz szereplők könnyen megismételhetik munkájukat. Miért hagyják abba a webfejlesztőknek a CAPTCHA használatát? Az olyan hitelesítési módszereknél, mint a CAPTCHA, akadálymentesítési problémáik vannak. A gépi tanulás fejlődése arra kényszerítette ezeket a szolgáltatásokat, hogy egyre összetettebbé váljanak. Ennek ellenére nem bolondbiztosak. Botok kapnakjobban igaz, mint az emberek. A kutatások azt mutatják, hogy 17,5 másodpercen belül képesek elvégezni a reCAPTCHA-t, és 85%-os pontosságot érnek el. Az emberek hosszabb ideig tartanak, és kevésbé pontosak. Sokan megbuknak a CAPTCHA teszteken, és fogalmuk sincs, mit csináltak rosszul. Például egy felszólítás, amely arra utasítja a felhasználókat, hogy „jelölje ki az összes közlekedési lámpával ellátott négyzetet”, elég egyszerűnek tűnik, de bonyolulttá válik, ha egy oszlopdarab egy másik téren van. Ki kell választaniuk azt a négyzetet, vagy ezt csinálná egy algoritmus? Bár a robotok képességei nagyságrendekkel nőttek, az emberek változatlanok maradtak. Ahogy a tesztek egyre nehezebbé válnak, úgy érzik, kevésbé hajlandók megkísérelni őket. Egy felmérés szerint az emberek csaknem 59%-a abbahagyja a termék használatát több rossz tapasztalat után. Ha a hitelesítés túl nehézkes vagy bonyolult, előfordulhat, hogy teljesen leállítják a webhely használatát. Az emberek különféle okokból, beleértve a technikai okokat is, megbukhatnak ezeken a teszteken. Ha letiltják a harmadik féltől származó cookie-kat, helyi proxy fut, vagy ha egy ideje nem frissítették a böngészőt, előfordulhat, hogy továbbra is meghiúsulnak, függetlenül attól, hogy hányszor próbálkoznak. Hitelesítési problémák a CAPTCHA-val A fent említett okok miatt a legtöbb CAPTCHA-típus természeténél fogva elérhetetlen. Ez különösen igaz a fogyatékkal élőkre, mivel ezek a kihívás-válasz tesztek nem az ő igényeiket szem előtt tartva készültek. A gyakori problémák a következők: A vizualizációval és a képernyőolvasó használatával kapcsolatos problémák A képernyőolvasók nem tudják elolvasni a szabványos vizuális CAPTCHA-kat, például a torzított szöveg tesztjét, mivel az összevissza, torz szavak géppel nem olvashatók. Hasonlóan elérhetetlen a képbesorolás és a csúszó puzzle módszer. Egy 2023 és 2024 között végzett WebAIM felmérésben a képernyőolvasó felhasználói egyetértettek abban, hogy a CAPTCHA a legproblémásabb elem, amely a kétértelmű hivatkozások, a váratlan képernyőmódosítások, a hiányzó alternatív szövegek, a nem elérhető keresés és a billentyűzet-elérhetőség hiánya elé helyezte. A csúcson lévő helye nagyjából változatlan maradt több mint egy évtizede, ami jól mutatja a megközelíthetetlenség történetét. Hallással és hangfeldolgozással kapcsolatos problémák Az audio CAPTCHA-k viszonylag ritkák, mivel a webfejlesztés bevált gyakorlatai azt tanácsolják, hogy ne játssza le a hangot automatikusan, és hangsúlyozza a felhasználói vezérlők fontosságát. Az audio CAPTCHA-k azonban továbbra is léteznek. A nagyothallók vagy süketek akadályba ütközhetnek, amikor megpróbálják ezeket a teszteket. A szándékos hangtorzítás és háttérzaj még segítő technológiával is megnehezíti ezeket a mintákat a hallásfeldolgozási zavarokkal küzdő egyének számára. Motorral és ügyességgel kapcsolatos problémák A motoros és ügyességi készségeket igénylő tesztek kihívást jelenthetnek a mozgássérültek vagy testi fogyatékossággal élők számára. Például valakinek, akinek remeg a keze, nehézkesnek találhatja a csúszó rejtvényeket. Ezenkívül kihívást jelenthetnek azok a képbesorolási tesztek, amelyek több képet töltenek be, amíg a kritériumoknak megfelelőt nem hagyják el. A megismeréssel és a nyelvvel kapcsolatos problémák Ahogy a CAPTCHA-k egyre összetettebbé válnak, egyes fejlesztők olyan tesztek felé fordulnak, amelyek a kreatív és a kritikus gondolkodás kombinációját igénylik. Azok, amelyek megkövetelik a felhasználóktól, hogy megoldjanak egy matematikai feladatot vagy fejtsenek ki egy rejtvényt, kihívást jelenthetnek a diszlexiában, diszkalkuliában, látásfeldolgozási zavarokban vagy kognitív károsodásban szenvedők számára. Miért nem hidalja át a szakadékot a kisegítő technológia? A CAPTCHA-kat szándékosan úgy tervezték, hogy az emberek értelmezzék és megoldják, így a kisegítő technológiák, például a képernyőolvasók és a kihangosító vezérlők nem sokat segíthetnek. A ReCAPTCHA különösen azért jelent problémát, mert elemzi a háttértevékenységet. Ha a kisegítő eszközöket botként jelöli meg, akkor potenciálisan elérhetetlen CAPTCHA-t fog kiszolgálni. Még ha ez a technológia áthidalhatja is a szakadékot, a webfejlesztők nem számíthatnak rá. Az iparági szabványok azt írják elő, hogy követniük kell az univerzális tervezési elveket, hogy weboldalaikat a lehető leginkább hozzáférhetővé és működőképessé tegyék. A CAPTCHA akadálymentesítési problémái megbocsáthatóak lennének, ha hatékony biztonsági eszköz lenne, de korántsem bolondbiztos, mivel a robotok jobban rájönnek, mint az emberek. Miért használjunk továbbra is olyan módszert, amely nem hatékony és akadályokat állít a fogyatékkal élők számára? Vannak jobb alternatívák. Az akadálymentes hitelesítés alapelvei Az az elképzelés, hogy az embereknek következetesen felül kell múlniuk az algoritmusokat, elavult. Vannak jobb hitelesítési módszerek, mint például a többtényezős hitelesítés (MFA). A kéttényezős hitelesítési piac 2027-re a becslések szerint 26,7 milliárd dollárt ér majd, ami alátámasztja népszerűségét. Ezt az eszközthatékonyabb, mint a CAPTCHA, mert megakadályozza a jogosulatlan hozzáférést még törvényes hitelesítő adatokkal is.
Győződjön meg arról, hogy az MFA technikája elérhető. Ahelyett, hogy a webhely látogatói bonyolult kódokat írjanak át, küldjön push értesítéseket vagy SMS-üzeneteket. Bízzon az ellenőrző kód automatikus kitöltésére a kód automatikus rögzítéséhez és beviteléhez. Alternatív megoldásként bevezethet egy „emlékezzen erre az eszközre” funkciót, amellyel kihagyhatja a hitelesítést a megbízható eszközökön. Az Apple kéttényezős hitelesítési megközelítését így tervezték. Egy megbízható eszköz automatikusan megjelenít egy hatjegyű ellenőrző kódot, így nem kell keresnie. Amikor a rendszer kéri, az iPhone-felhasználók megérinthetik a mobilbillentyűzet felett megjelenő javaslatot az automatikus kitöltéshez.
Egy másik lehetőség az egyszeri bejelentkezés. Ez a munkamenet- és felhasználó-hitelesítési szolgáltatás lehetővé teszi az emberek számára, hogy egyetlen bejelentkezési hitelesítő adatokkal több webhelyre vagy alkalmazásba is bejelentkezzenek, így minimálisra csökkenti a személyazonosság ismételt ellenőrzésének szükségességét. Az egyszer használatos „mágikus hivatkozások” kiváló alternatívát jelentenek a reCAPTCHA-val és az ideiglenes PIN-kódokkal szemben. Ahelyett, hogy megjegyezné a kódot vagy megoldana egy rejtvényt, a felhasználó egy gombra kattint. Kerülje a határidők kiszabását, mert a WCAG 2.2.3 teljesítési feltétele szerint a felhasználóknak nem szabad időkorlátokkal szembesülniük, mivel a fogyatékkal élőknek több időre van szükségük bizonyos műveletek elvégzéséhez. Alternatív megoldásként használhatja a Cloudflare Turnstile-t. CAPTCHA megjelenítése nélkül hitelesít, és a legtöbb embernek soha nem kell bejelölnie egy négyzetet vagy megnyomnia egy gombot. A szoftver úgy működik, hogy a színfalak mögött egy kis JavaScript kihívást bocsát ki, hogy automatikusan különbséget tegyen a robotok és az emberek között. A Cloudflare Turnstile bármely webhelybe beágyazható, így kiváló alternatívája a szokásos osztályozási feladatoknak. Hozzáférhető hitelesítési tervek tesztelése és értékelése Elengedhetetlen az elérhető alternatív hitelesítési módszerek tesztelése és értékelése. Sok terv jól néz ki papíron, de a gyakorlatban nem működik. Ha lehetséges, gyűjtsön visszajelzést a tényleges felhasználóktól. A nyílt béta hatékony módja lehet a láthatóság maximalizálásának. Ne feledje, hogy az általános akadálymentesítési szempontok nem csak a fogyatékkal élőkre vonatkoznak. Ide tartoznak azok is, akik neurodivergensek, nem férnek hozzá mobileszközhöz, vagy kisegítő technológiát használnak. Győződjön meg arról, hogy az alternatív tervek figyelembe veszik ezeket a személyeket.
Valójában nem lehet tökéletes rendszert létrehozni, mivel mindenki egyedi. Sokan küzdenek a többlépcsős folyamatok követésével, egyenletek megoldásával, összetett utasítások feldolgozásával vagy jelkódok emlékezésével. Míg az univerzális webtervezési elvek javíthatják a rugalmasságot, egyetlen megoldás sem felel meg mindenki igényeinek. Függetlenül attól, hogy milyen hitelesítési technikát használ, a felhasználóknak több hitelesítési lehetőséget kell előre bemutatnia. Ők ismerik a legjobban képességeiket, ezért hagyja, hogy ők döntsék el, mit használjanak ahelyett, hogy megpróbálnának túltervezni egy olyan megoldást, amely minden szélső esetben működik. A tervezési változtatásokkal kapcsolatos akadálymentesítési probléma megoldása Előfordulhat, hogy egy kézremegő személy nem tud befejezni egy csúszó rejtvényt, míg a hangfeldolgozási rendellenességben szenvedőknek gondjai lehetnek a torzított hangmintákkal. A CAPTCHA-kat azonban nem helyettesítheti egyszerűen alternatívákkal, mert gyakran ugyanúgy elérhetetlenek. A QR-kódokat például nehéz lehet beolvasni a csökkent finommotoros vezérléssel rendelkezők számára. A látássérültek nehezen találják meg a képernyőn. Hasonlóképpen, a biometrikus adatok problémát jelenthetnek az arcdeformitásokkal vagy korlátozott mozgási tartományban szenvedők számára. Az akadálymentesítési probléma megoldása kreatív gondolkodást igényel. Kezdje azzal, hogy meglátogatja a Web Accessibility Initiative akadálymentesítési oktatóanyagait a fejlesztőknek, hogy jobban megértsék az univerzális tervezést. Bár ezek az oktatóanyagok inkább a tartalomra összpontosítanak, mint a hitelesítésre, továbbra is használhatja őket előnyére. A W3C csoport megjegyzéstervezete a CAPTCHA elérhetetlenségéről relevánsabb útmutatást ad. Az indulás ugyanolyan egyszerű, mint a bevált gyakorlatok kutatása. Az alapok megértése elengedhetetlen, mert nincs univerzális megoldás az akadálymentes webdesignhoz. Ha optimalizálni szeretné a kisegítő lehetőségeket, fontolja meg, hogy visszajelzést kérjen azoktól, akik ténylegesen meglátogatják webhelyét. További olvasás
„A CAPTCHA: Perspektívák és kihívások”, Darko Brodić és Alessia Amelio „Hozzáférhető szöveg tervezése képeken: legjobb gyakorlatok, technikák és források” – Hannah Milan „A legjobb CAPTCHA nyomában” – David Bushell „A WCAG 3.0 által javasolt pontozási modell: eltolása Kisegítő lehetőségek értékelésében”, Mikhail Prosmitskiy
