Den fuldstændig automatiserede offentlige Turing-test til at fortælle Computers and Humans Apart (CAPTCHA) er blevet indgroet i internetbrowsing, siden personlige computere tog fart på markedet for forbrugerelektronik. I næsten lige så længe, som folk har været online, har webudviklere søgt efter måder at blokere spambots på. CAPTCHA-tjenesten skelner mellem menneskelig og botaktivitet for at holde bots ude. Desværre er dens metoder mindre end præcise. I forsøget på at beskytte mennesker har udviklere gjort meget af internettet utilgængeligt for mennesker med handicap.
Godkendelsesmetoder, såsom CAPTCHA, bruger typisk billedklassificering, puslespil, lydprøver eller klikbaserede tests for at afgøre, om brugeren er et menneske. Mens typerne af udfordringer er veldokumenterede, er deres logik ikke offentlig viden. Folk kan kun gætte, hvad der skal til for at "bevise", at de er mennesker.
Hvad er CAPTCHA? En CAPTCHA er en omvendt Turing-test, der har form af en udfordring-respons-test. For eksempel, hvis den instruerer brugere til at "vælge alle billeder med trapper", skal de vælge trappen ud fra rækværk, indkørsler og fodgængerovergange. Alternativt kan de blive bedt om at indtaste den tekst, de ser, tilføje summen af terningansigter eller fuldføre et glidende puslespil. Billedbaserede CAPTCHA'er er ansvarlige for de mest frustrerende delte oplevelser internetbrugere har - at beslutte, om de skal vælge en firkant, når der kun er et lille stykke af det pågældende objekt i det.
Uanset metoden afgør en computer eller algoritme i sidste ende, om testpersonen er et menneske eller en maskine. Denne autentificeringstjeneste har affødt mange udløbere, inklusive reCAPTCHA og hCAPTCHA. Det har endda ført til oprettelsen af hele virksomheder, såsom GeeTest og Arkose Labs. Det Google-ejede automatiserede system reCAPTCHA kræver, at brugere klikker på et afkrydsningsfelt mærket "Jeg er ikke en robot" for godkendelse. Den kører en adaptiv analyse i baggrunden for at tildele en risikoscore. hCAPTCHA er et billedklassifikationsbaseret alternativ. Andre autentificeringsmetoder omfatter multi-factor authentication (MFA), QR-koder, midlertidige personlige identifikationsnumre (PIN'er) og biometri. De følger ikke udfordring-svar-formlen, men tjener grundlæggende lignende formål. Disse udløbere er beregnet til at være bedre end originalen, men de opfylder ofte ikke moderne tilgængelighedsstandarder. Tag for eksempel hCaptcha, som bruger en cookie til at lade dig omgå udfordring-svar-testen helt. Det er en god idé i teorien, men det virker ikke i praksis. Du formodes at modtage en engangskode via e-mail, som du sender til et bestemt nummer via SMS. Brugere rapporterer at modtage endeløse fejlmeddelelser, hvilket tvinger dem til at udfylde standardteksten CAPTCHA. Dette er kun tilgængeligt, hvis webstedet udtrykkeligt aktiverede det under konfigurationen. Hvis det ikke er sat op, skal du gennemføre en billedudfordring, der ikke genkender skærmlæsere. Selv når den indledende proces fungerer, afhænger efterfølgende godkendelse af en tredjeparts cookie på tværs af websteder, som de fleste browsere blokerer automatisk. Desuden udløber koden efter en kort periode, så du skal gentage hele processen, hvis det tager dig for lang tid at gå videre til næste trin. Hvorfor bruger teams CAPTCHA og lignende godkendelsesmetoder? CAPTCHA er almindeligt, fordi det er nemt at sætte op. Udviklere kan programmere det til at blive vist, og det udfører testen automatisk. På denne måde kan de fokusere på vigtigere sager, mens de stadig forhindrer spam, bedrageri og misbrug. Disse værktøjer skal gøre det lettere for mennesker at bruge internettet sikkert, men de forhindrer ofte rigtige mennesker i at logge ind. Disse test resulterer generelt i en dårlig brugeroplevelse. En undersøgelse fandt, at brugere spildte over 819 millioner timer på over 512 milliarder reCAPTCHA v2-sessioner fra 2023. På trods af det hele, har bots sejre. Maskinlæringsmodeller kan løse tekstbaseret CAPTCHA inden for brøkdele af et sekund med over 97 % nøjagtighed. En undersøgelse fra 2024 af Googles reCAPTCHA v2 - som stadig er meget brugt på trods af udrulningen af reCAPTCHA v3 - viste, at bots kan løse billedklassificering CAPTCHA med op til 100 % nøjagtighed, afhængigt af det objekt, de har til opgave at identificere. Forskerne brugte en gratis, open source-model, hvilket betyder, at dårlige skuespillere nemt kunne replikere deres arbejde. Hvorfor skal webudviklere holde op med at bruge CAPTCHA? Godkendelsesmetoder som CAPTCHA har et tilgængelighedsproblem. Maskinlæringsfremskridt tvang disse tjenester til at blive mere og mere komplekse. Selv stadig er de ikke idiotsikre. Bots fårdet rigtige mere end folk gør. Forskning viser, at de kan gennemføre reCAPTCHA inden for 17,5 sekunder, hvilket opnår 85 % nøjagtighed. Mennesker tager længere tid og er mindre præcise. Mange mennesker fejler CAPTCHA-test og har ingen idé om, hvad de gjorde forkert. For eksempel virker en prompt, der instruerer brugerne om at "vælge alle pladser med trafiklys", simpel nok, men det bliver kompliceret, hvis en splint af stangen er i en anden firkant. Skal de vælge den boks, eller er det, hvad en algoritme ville gøre? Selvom bot-kapaciteter er vokset i størrelsesordenen, er mennesker forblevet de samme. Efterhånden som testene bliver gradvist sværere, føler de sig mindre tilbøjelige til at prøve dem. En undersøgelse viser, at næsten 59 % af folk vil stoppe med at bruge et produkt efter flere dårlige oplevelser. Hvis autentificeringen er for besværlig eller kompleks, kan de helt stoppe med at bruge webstedet. Folk kan fejle disse tests af forskellige årsager, herunder tekniske. Hvis de blokerer tredjepartscookies, har en lokal proxy kørende eller ikke har opdateret deres browser i et stykke tid, kan de blive ved med at fejle, uanset hvor mange gange de prøver. Godkendelsesproblemer med CAPTCHA På grund af ovennævnte årsager er de fleste typer CAPTCHA i sagens natur utilgængelige. Dette gælder især for mennesker med handicap, da disse udfordring-respons-tests ikke var designet med deres behov i tankerne. Nogle af de almindelige problemer omfatter følgende: Problemer relateret til billeder og skærmlæserbrug Skærmlæsere kan ikke læse standard visuelle CAPTCHA'er, såsom den forvrængede teksttest, da de rodede, forvrængede ord ikke er maskinlæsbare. Billedklassificering og glidende puslespil metoder er ligeledes utilgængelige. I en WebAIM-undersøgelse udført fra 2023 til 2024 var skærmlæserbrugere enige om, at CAPTCHA var det mest problematiske element, idet det placerede det over tvetydige links, uventede skærmændringer, manglende alt-tekst, utilgængelig søgning og mangel på tastaturtilgængelighed. Dens plads på toppen har stort set været uændret i over et årti, hvilket illustrerer dens historie med utilgængelighed. Problemer relateret til hørelse og lydbehandling Audio CAPTCHA'er er relativt ualmindelige, fordi bedste praksis for webudvikling fraråder autoplay lyd og understreger vigtigheden af brugerkontroller. Audio CAPTCHA'er eksisterer dog stadig. Mennesker, der er hørehæmmede eller døve, kan støde på en barriere, når de prøver disse tests. Selv med hjælpeteknologi gør den tilsigtede lydforvrængning og baggrundsstøj disse samples udfordrende for personer med auditive processeringsforstyrrelser at forstå. Problemer relateret til motorik og fingerfærdighed Tests, der kræver motoriske færdigheder og fingerfærdigheder, kan være udfordrende for dem med motoriske funktionsnedsættelser eller fysiske handicap. For eksempel kan en person med en håndskælven finde de glidende gåder vanskelige. Også billedklassificeringstesten, der indlæser flere billeder, indtil der ikke er nogen tilbage, der passer til kriterierne, kan udgøre en udfordring. Spørgsmål relateret til kognition og sprog Efterhånden som CAPTCHA'er bliver mere og mere komplekse, henvender nogle udviklere sig til test, der kræver en kombination af kreativ og kritisk tænkning. Dem, der kræver, at brugere løser et matematisk problem eller fuldfører et puslespil, kan være udfordrende for mennesker med ordblindhed, dyskalkuli, synsbehandlingsforstyrrelser eller kognitive svækkelser. Hvorfor hjælpeteknologi ikke vil bygge bro over kløften CAPTCHA'er er med vilje designet til at mennesker kan fortolke og løse, så hjælpeteknologi som skærmlæsere og håndfri kontrol kan være til lidt hjælp. Især ReCAPTCHA udgør et problem, fordi det analyserer baggrundsaktivitet. Hvis den markerer tilgængelighedsenhederne som bots, vil den tjene en potentielt utilgængelig CAPTCHA. Selvom denne teknologi kunne bygge bro over kløften, bør webudviklere ikke forvente det. Branchestandarder dikterer, at de skal følge universelle designprincipper for at gøre deres hjemmesider så tilgængelige og funktionelle som muligt. CAPTCHAs tilgængelighedsproblemer kunne blive tilgivet, hvis det var et effektivt sikkerhedsværktøj, men det er langt fra idiotsikkert, da bots får det rigtigt mere end mennesker gør. Hvorfor blive ved med at bruge en metode, der er ineffektiv og skaber barrierer for mennesker med handicap? Der er bedre alternativer. Principper for tilgængelig godkendelse Ideen om, at mennesker konsekvent skal udkonkurrere algoritmer, er forældet. Der findes bedre autentificeringsmetoder, såsom multifaktorautentificering (MFA). To-faktor autentificeringsmarkedet vil være værd at anslå $26,7 milliarder i 2027, hvilket understreger dets popularitet. Dette værktøjer mere effektiv end en CAPTCHA, fordi den forhindrer uautoriseret adgang, selv med legitime legitimationsoplysninger.
Sørg for, at din MFA-teknik er tilgængelig. I stedet for at få besøgende til at transkribere komplekse koder, bør du sende push-beskeder eller SMS-beskeder. Stol på, at bekræftelseskoden autofyld automatisk fanger og indtaster koden. Alternativt kan du introducere en "husk denne enhed"-funktion for at springe godkendelse over på betroede enheder. Apples to-faktor-godkendelsestilgang er designet på denne måde. En betroet enhed viser automatisk en sekscifret bekræftelseskode, så de ikke behøver at søge efter den. Når du bliver bedt om det, kan iPhone-brugere trykke på det forslag, der vises over deres mobiltastatur til autofyld.
Single sign-on er en anden mulighed. Denne sessions- og brugergodkendelsestjeneste giver folk mulighed for at logge ind på flere websteder eller applikationer med et enkelt sæt login-legitimationsoplysninger, hvilket minimerer behovet for gentagen identitetsbekræftelse. Engangsbrug "magiske links" er et glimrende alternativ til reCAPTCHA og midlertidige PIN-koder. I stedet for at huske en kode eller løse et puslespil, klikker brugeren på en knap. Undgå at pålægge deadlines, fordi brugere ifølge WCAG Success Criterium 2.2.3 ikke bør stå over for tidsbegrænsninger, da personer med handicap kan have brug for mere tid til at gennemføre specifikke handlinger. Alternativt kan du bruge Cloudflare Turnstile. Det autentificerer uden at vise en CAPTCHA, og de fleste mennesker behøver aldrig engang at markere en boks eller trykke på en knap. Softwaren fungerer ved at udsende en lille JavaScript-udfordring bag kulisserne for automatisk at skelne mellem bots og mennesker. Cloudflare Turnstile kan indlejres i ethvert websted, hvilket gør det til et glimrende alternativ til standard klassifikationsopgaver. Test og evaluering af tilgængelige autentificeringsdesigns Test og evaluering af dine tilgængelige alternative autentificeringsmetoder er afgørende. Mange designs ser godt ud på papiret, men fungerer ikke i praksis. Indsaml om muligt feedback fra faktiske brugere. En åben beta kan være en effektiv måde at maksimere synlighed. Husk, at generelle tilgængelighedshensyn ikke kun gælder for mennesker med handicap. De omfatter også dem, der er neurodivergerende, mangler adgang til en mobil enhed eller bruger hjælpeteknologi. Sørg for, at dine alternative designs overvejer disse personer.
Realistisk set kan du ikke skabe et perfekt system, da alle er unikke. Mange mennesker kæmper for at følge flertrinsprocesser, løse ligninger, behandle komplekse instruktioner eller huske adgangskoder. Mens universelle webdesignprincipper kan forbedre fleksibiliteten, kan ingen enkelt løsning opfylde alles behov. Uanset hvilken godkendelsesteknik du bruger, bør du præsentere brugerne for flere godkendelsesmuligheder på forhånd. De kender deres evner bedst, så lad dem beslutte, hvad de skal bruge i stedet for at prøve at overkonstruere en løsning, der fungerer til enhver edge-case. Løs tilgængelighedsproblemet med designændringer En person med håndrystelser kan være ude af stand til at fuldføre et glidende puslespil, mens en person med en lydbehandlingsforstyrrelse kan have problemer med forvrængede lydprøver. Du kan dog ikke bare erstatte CAPTCHA'er med alternativer, fordi de ofte er lige så utilgængelige. QR-koder kan for eksempel være svære at scanne for dem med nedsat finmotorik. Personer, der er svagtseende, kan have svært ved at finde det på skærmen. Tilsvarende kan biometri udgøre et problem for mennesker med ansigtsdeformiteter eller et begrænset bevægelsesområde. At løse tilgængelighedsproblemet kræver kreativ tænkning. Du kan starte med at besøge Web Accessibility Initiatives tilgængelighedstutorials for udviklere for bedre at forstå universelt design. Selvom disse selvstudier fokuserer mere på indhold end på godkendelse, kan du stadig bruge dem til din fordel. W3C Group Draft Note on the Inaccessibility of CAPTCHA giver mere relevant vejledning. Det er lige så nemt at komme i gang som at undersøge bedste praksis. Det er vigtigt at forstå det grundlæggende, fordi der ikke er nogen universel løsning til tilgængeligt webdesign. Hvis du ønsker at optimere tilgængeligheden, kan du overveje at hente feedback fra de personer, der faktisk besøger dit websted. Yderligere læsning
"CAPTCHA: Perspectives and Challenges," Darko Brodić og Alessia Amelio "Design af tilgængelig tekst over billeder: bedste praksis, teknikker og ressourcer," Hannah Milan "På jagt efter den bedste CAPTCHA," David Bushell "WCAG 3.0's foreslåede scoringsmodel: Et skifti tilgængelighedsevaluering,” Mikhail Prosmitskiy
