De Completely Automated Public Turing-test om computers en mensen uit elkaar te houden (CAPTCHA) is ingebakken in het surfen op internet sinds personal computers aan populariteit wonnen op de markt voor consumentenelektronica. Bijna net zo lang als mensen online gaan, zoeken webontwikkelaars naar manieren om spambots te blokkeren. De CAPTCHA-service maakt onderscheid tussen menselijke en botactiviteiten om bots buiten te houden. Helaas zijn de methoden ervan niet bepaald nauwkeurig. In hun pogingen mensen te beschermen hebben ontwikkelaars een groot deel van het internet ontoegankelijk gemaakt voor mensen met een handicap.
Authenticatiemethoden, zoals CAPTCHA, maken doorgaans gebruik van beeldclassificatie, puzzels, audiofragmenten of op klikken gebaseerde tests om te bepalen of de gebruiker een mens is. Hoewel de soorten uitdagingen goed gedocumenteerd zijn, is hun logica niet algemeen bekend. Mensen kunnen alleen maar raden wat er nodig is om te ‘bewijzen’ dat ze een mens zijn.
Wat is CAPTCHA? Een CAPTCHA is een omgekeerde Turing-test die de vorm aanneemt van een challenge-response-test. Als gebruikers bijvoorbeeld de opdracht krijgen om “alle afbeeldingen met trappen te selecteren”, moeten ze de trappen uit de leuningen, opritten en oversteekplaatsen kiezen. Als alternatief kan hen worden gevraagd de tekst in te voeren die ze zien, de som van de dobbelsteenvlakken op te tellen of een schuifpuzzel te voltooien. Op afbeeldingen gebaseerde CAPTCHA's zijn verantwoordelijk voor de meest frustrerende gedeelde ervaringen die internetgebruikers hebben: beslissen of ze een vierkant moeten selecteren terwijl er slechts een klein stukje van het betreffende object in zit.
Ongeacht de methode bepaalt een computer of algoritme uiteindelijk of de testpersoon een mens of een machine is. Deze authenticatieservice heeft veel uitlopers voortgebracht, waaronder reCAPTCHA en hCAPTCHA. Het heeft zelfs geleid tot de oprichting van hele bedrijven, zoals GeeTest en Arkose Labs. Het geautomatiseerde systeem reCAPTCHA, eigendom van Google, vereist dat gebruikers voor authenticatie op een selectievakje met het label 'Ik ben geen robot' klikken. Het voert op de achtergrond een adaptieve analyse uit om een risicoscore toe te kennen. hCAPTCHA is een op beeldclassificatie gebaseerd alternatief. Andere authenticatiemethoden zijn onder meer multi-factor authenticatie (MFA), QR-codes, tijdelijke persoonlijke identificatienummers (PIN's) en biometrie. Ze volgen niet de formule van uitdaging en antwoord, maar dienen fundamenteel vergelijkbare doeleinden. Deze uitlopers zijn bedoeld om beter te zijn dan het origineel, maar voldoen vaak niet aan de moderne toegankelijkheidsnormen. Neem bijvoorbeeld hCaptcha, dat een cookie gebruikt waarmee u de challenge-response-test volledig kunt omzeilen. In theorie is het een geweldig idee, maar in de praktijk werkt het niet. Het is de bedoeling dat u via e-mail een eenmalige code ontvangt die u via sms naar een specifiek nummer verzendt. Gebruikers melden dat ze eindeloze foutmeldingen ontvangen, waardoor ze gedwongen worden de standaardtekst CAPTCHA in te vullen. Dit is alleen beschikbaar als de site dit expliciet heeft ingeschakeld tijdens de configuratie. Als deze niet is ingesteld, moet u een afbeeldingsuitdaging voltooien die geen schermlezers herkent. Zelfs als het eerste proces werkt, is de daaropvolgende authenticatie afhankelijk van een cross-site cookie van derden, die de meeste browsers automatisch blokkeren. Bovendien vervalt de code na een korte periode, dus u moet het hele proces opnieuw uitvoeren als het te lang duurt om door te gaan naar de volgende stap. Waarom gebruiken teams CAPTCHA en soortgelijke authenticatiemethoden? CAPTCHA is gebruikelijk omdat het eenvoudig in te stellen is. Ontwikkelaars kunnen programmeren dat het verschijnt, en het voert de test automatisch uit. Op deze manier kunnen ze zich concentreren op belangrijkere zaken en toch spam, fraude en misbruik voorkomen. Deze tools zouden het voor mensen gemakkelijker moeten maken om veilig internet te gebruiken, maar ze weerhouden echte mensen er vaak van om in te loggen. Deze tests resulteren in het algemeen in een slechte gebruikerservaring. Uit één onderzoek bleek dat gebruikers in 2023 ruim 819 miljoen uur verspilden aan ruim 512 miljard reCAPTCHA v2-sessies. Ondanks dit alles hebben bots de overhand. Machine learning-modellen kunnen op tekst gebaseerde CAPTCHA binnen fracties van een seconde oplossen met een nauwkeurigheid van meer dan 97%. Uit een onderzoek uit 2024 naar Google’s reCAPTCHA v2 – dat nog steeds veel wordt gebruikt ondanks de uitrol van reCAPTCHA v3 – bleek dat bots CAPTCHA voor beeldclassificatie kunnen oplossen met een nauwkeurigheid tot 100%, afhankelijk van het object dat ze moeten identificeren. De onderzoekers gebruikten een gratis, open-sourcemodel, wat betekent dat slechte acteurs hun werk gemakkelijk konden repliceren. Waarom moeten webontwikkelaars stoppen met het gebruik van CAPTCHA? Authenticatiemethoden zoals CAPTCHA hebben een toegankelijkheidsprobleem. Door de vooruitgang op het gebied van machinaal leren werden deze diensten steeds complexer. Zelfs nog zijn ze niet onfeilbaar. Bots krijgenhet klopt meer dan mensen doen. Uit onderzoek blijkt dat ze reCAPTCHA binnen 17,5 seconden kunnen voltooien, met een nauwkeurigheid van 85%. Mensen doen er langer over en zijn minder nauwkeurig. Veel mensen slagen niet voor CAPTCHA-tests en hebben geen idee wat ze verkeerd hebben gedaan. Een prompt waarin gebruikers worden geïnstrueerd om “alle vierkanten met verkeerslichten te selecteren” lijkt eenvoudig genoeg, maar het wordt ingewikkeld als een stukje van de paal zich in een ander vierkant bevindt. Moeten ze dat vakje aanvinken, of is dat wat een algoritme zou doen? Hoewel de mogelijkheden van bots enorm zijn gegroeid, zijn mensen hetzelfde gebleven. Naarmate tests steeds moeilijker worden, voelen ze zich minder geneigd om ze te proberen. Uit een onderzoek blijkt dat bijna 59% van de mensen na een aantal slechte ervaringen zal stoppen met het gebruik van een product. Als authenticatie te omslachtig of complex is, kunnen ze de website mogelijk helemaal niet meer gebruiken. Mensen kunnen om verschillende redenen, waaronder technische, niet slagen voor deze tests. Als ze cookies van derden blokkeren, een lokale proxy actief hebben of hun browser al een tijdje niet hebben bijgewerkt, kan het zijn dat ze blijven falen, ongeacht hoe vaak ze het proberen. Authenticatieproblemen met CAPTCHA Vanwege de hierboven genoemde redenen zijn de meeste typen CAPTCHA inherent ontoegankelijk. Dit geldt vooral voor mensen met een handicap, omdat deze uitdagings-antwoordtests niet zijn ontworpen met hun behoeften in gedachten. Enkele veelvoorkomende problemen zijn onder meer: Problemen met betrekking tot het gebruik van beelden en schermlezers Schermlezers kunnen geen standaard visuele CAPTCHA's lezen, zoals de vervormde teksttest, omdat de door elkaar gegooide, verdraaide woorden niet machinaal leesbaar zijn. De methoden voor beeldclassificatie en schuifpuzzel zijn eveneens ontoegankelijk. In een WebAIM-enquête die tussen 2023 en 2024 werd uitgevoerd, waren gebruikers van schermlezers het erover eens dat CAPTCHA het meest problematische item was. Het werd gerangschikt boven dubbelzinnige links, onverwachte schermwijzigingen, ontbrekende alternatieve tekst, ontoegankelijke zoekmogelijkheden en een gebrek aan toetsenbordtoegankelijkheid. De plek aan de top is al meer dan tien jaar grotendeels onveranderd gebleven, wat de geschiedenis van ontoegankelijkheid illustreert. Problemen met betrekking tot gehoor en audioverwerking Audio-CAPTCHA's zijn relatief ongebruikelijk omdat best practices voor webontwikkeling het automatisch afspelen van audio afraden en het belang van gebruikersbediening benadrukken. Audio-CAPTCHA's bestaan echter nog steeds. Mensen die slechthorend of doof zijn, kunnen bij het uitvoeren van deze tests een barrière tegenkomen. Zelfs met ondersteunende technologie zorgen de opzettelijke audiovervorming en achtergrondruis ervoor dat deze samples moeilijk te begrijpen zijn voor mensen met auditieve verwerkingsstoornissen. Kwesties met betrekking tot motoriek en behendigheid Tests die motorische en behendigheidsvaardigheden vereisen, kunnen een uitdaging zijn voor mensen met motorische of fysieke beperkingen. Iemand met trillende handen kan bijvoorbeeld de schuifpuzzels lastig vinden. Ook kunnen de tests voor beeldclassificatie, waarbij meer afbeeldingen worden geladen totdat er geen afbeeldingen meer over zijn die aan de criteria voldoen, een uitdaging vormen. Kwesties met betrekking tot cognitie en taal Nu CAPTCHA's steeds complexer worden, wenden sommige ontwikkelaars zich tot tests die een combinatie van creatief en kritisch denken vereisen. Degenen waarbij gebruikers een wiskundig probleem moeten oplossen of een puzzel moeten voltooien, kunnen een uitdaging zijn voor mensen met dyslexie, dyscalculie, visuele verwerkingsstoornissen of cognitieve beperkingen. Waarom ondersteunende technologie de kloof niet kan overbruggen CAPTCHA's zijn met opzet ontworpen zodat mensen ze kunnen interpreteren en oplossen, dus ondersteunende technologie zoals schermlezers en handsfree bediening kunnen van weinig nut zijn. Vooral ReCAPTCHA vormt een probleem omdat het achtergrondactiviteit analyseert. Als de toegankelijkheidsapparaten als bots worden gemarkeerd, wordt een mogelijk ontoegankelijke CAPTCHA weergegeven. Zelfs als deze technologie de kloof zou kunnen overbruggen, mogen webontwikkelaars dat niet verwachten. Industrienormen schrijven voor dat ze universele ontwerpprincipes moeten volgen om hun websites zo toegankelijk en functioneel mogelijk te maken. De toegankelijkheidsproblemen van CAPTCHA zouden vergeven kunnen worden als het een effectief beveiligingshulpmiddel zou zijn, maar het is verre van onfeilbaar omdat bots het beter doen dan mensen. Waarom een methode blijven gebruiken die ineffectief is en barrières opwerpt voor mensen met een beperking? Er zijn betere alternatieven. Principes voor toegankelijke authenticatie Het idee dat mensen consequent beter moeten presteren dan algoritmen is achterhaald. Er bestaan betere authenticatiemethoden, zoals multifactorauthenticatie (MFA). De markt voor tweefactorauthenticatie zal in 2027 naar schatting 26,7 miljard dollar waard zijn, wat de populariteit ervan onderstreept. Dit hulpmiddelis effectiever dan een CAPTCHA omdat het ongeoorloofde toegang voorkomt, zelfs met legitieme inloggegevens.
Zorg ervoor dat uw MFA-techniek toegankelijk is. In plaats van websitebezoekers complexe codes te laten transcriberen, moet u pushmeldingen of sms-berichten verzenden. Vertrouw op het automatisch invullen van de verificatiecode om de code automatisch vast te leggen en in te voeren. Als alternatief kunt u een functie 'Onthoud dit apparaat' introduceren om authenticatie op vertrouwde apparaten over te slaan. De tweefactorauthenticatiebenadering van Apple is op deze manier ontworpen. Een vertrouwd apparaat geeft automatisch een zescijferige verificatiecode weer, zodat ze daar niet naar hoeven te zoeken. Wanneer daarom wordt gevraagd, kunnen iPhone-gebruikers op de suggestie tikken die boven hun mobiele toetsenbord verschijnt voor automatisch aanvullen.
Single sign-on is een andere optie. Met deze sessie- en gebruikersauthenticatieservice kunnen mensen inloggen op meerdere websites of applicaties met één enkele set inloggegevens, waardoor de noodzaak van herhaalde identiteitsverificatie tot een minimum wordt beperkt. “Magische links” voor eenmalig gebruik zijn een uitstekend alternatief voor reCAPTCHA en tijdelijke pincodes. In plaats van een code te onthouden of een puzzel op te lossen, klikt de gebruiker op een knop. Vermijd het opleggen van deadlines, omdat gebruikers volgens WCAG-succescriterium 2.2.3 geen tijdslimieten mogen verwachten, aangezien mensen met een handicap mogelijk meer tijd nodig hebben om specifieke acties te voltooien. Als alternatief kunt u Cloudflare Turnstile gebruiken. Het authenticeert zonder een CAPTCHA te tonen, en de meeste mensen hoeven zelfs nooit een vakje aan te vinken of op een knop te drukken. De software werkt door achter de schermen een kleine JavaScript-uitdaging uit te voeren om automatisch onderscheid te maken tussen bots en mensen. Cloudflare Turnstile kan in elke website worden ingebed, waardoor het een uitstekend alternatief is voor standaard classificatietaken. Testen en evalueren van toegankelijke authenticatieontwerpen Het testen en evalueren van uw toegankelijke alternatieve authenticatiemethoden is essentieel. Veel ontwerpen zien er op papier goed uit, maar werken in de praktijk niet. Verzamel indien mogelijk feedback van daadwerkelijke gebruikers. Een open bèta kan een effectieve manier zijn om de zichtbaarheid te maximaliseren. Houd er rekening mee dat algemene toegankelijkheidsoverwegingen niet alleen van toepassing zijn op mensen met een handicap. Hieronder vallen ook mensen die neurodivergerend zijn, geen toegang hebben tot een mobiel apparaat of ondersteunende technologie gebruiken. Zorg ervoor dat uw alternatieve ontwerpen rekening houden met deze personen.
Realistisch gezien kun je geen perfect systeem creëren, omdat iedereen uniek is. Veel mensen hebben moeite met het volgen van processen die uit meerdere stappen bestaan, het oplossen van vergelijkingen, het verwerken van complexe instructies of het onthouden van toegangscodes. Hoewel universele webontwerpprincipes de flexibiliteit kunnen verbeteren, kan geen enkele oplossing aan ieders behoeften voldoen. Ongeacht de authenticatietechniek die u gebruikt, moet u gebruikers vooraf meerdere authenticatie-opties aanbieden. Zij kennen hun mogelijkheden het beste, dus laat hen beslissen wat ze willen gebruiken, in plaats van te proberen een oplossing te over-engineeren die voor elk randgeval werkt. Pak het toegankelijkheidsprobleem aan met ontwerpwijzigingen Iemand met trillende handen is mogelijk niet in staat een schuifpuzzel te voltooien, terwijl iemand met een audioverwerkingsstoornis moeite kan hebben met vervormde audiofragmenten. Je kunt CAPTCHA’s echter niet zomaar vervangen door alternatieven, omdat deze vaak net zo ontoegankelijk zijn. QR-codes kunnen bijvoorbeeld moeilijk te scannen zijn voor mensen met een verminderde fijne motoriek. Mensen met een visuele beperking kunnen het moeilijk vinden om het op het scherm te vinden. Op dezelfde manier kunnen biometrie een probleem vormen voor mensen met gezichtsmisvormingen of een beperkt bewegingsbereik. Het aanpakken van het toegankelijkheidsprobleem vereist creatief denken. U kunt beginnen door de toegankelijkheidshandleidingen van het Web Accessibility Initiative te bezoeken, zodat ontwikkelaars universeel ontwerp beter kunnen begrijpen. Hoewel deze tutorials zich meer richten op de inhoud dan op authenticatie, kunt u ze nog steeds in uw voordeel gebruiken. De conceptnota van de W3C-groep over de ontoegankelijkheid van CAPTCHA biedt relevantere richtlijnen. Aan de slag gaan is net zo eenvoudig als het onderzoeken van best practices. Het begrijpen van de basisprincipes is essentieel omdat er geen universele oplossing bestaat voor toegankelijk webdesign. Als u de toegankelijkheid wilt optimaliseren, overweeg dan om feedback te vragen aan de mensen die uw website daadwerkelijk bezoeken. Verder lezen
“De CAPTCHA: perspectieven en uitdagingen”, Darko Brodić en Alessia Amelio “Toegankelijke tekst ontwerpen via afbeeldingen: best practices, technieken en bronnen”, Hannah Milan “Op zoek naar de beste CAPTCHA”, David Bushell “Het voorgestelde scoremodel van WCAG 3.0: een verschuivingin toegankelijkheidsevaluatie”, Michail Prosmitskiy
