Den fullstendig automatiserte offentlige Turing-testen for å fortelle Computers and Humans Apart (CAPTCHA) har blitt inngrodd i nettsurfing siden personlige datamaskiner skjøt fart i forbrukerelektronikkmarkedet. I nesten like lenge som folk har vært på nett, har nettutviklere søkt måter å blokkere spambotter. CAPTCHA-tjenesten skiller mellom menneskelig og bot-aktivitet for å holde roboter ute. Dessverre er metodene mindre enn presise. I forsøket på å beskytte mennesker har utviklere gjort mye av nettet utilgjengelig for funksjonshemmede.
Autentiseringsmetoder, som CAPTCHA, bruker vanligvis bildeklassifisering, puslespill, lydprøver eller klikkbaserte tester for å avgjøre om brukeren er et menneske. Mens typene utfordringer er godt dokumentert, er deres logikk ikke offentlig kjent. Folk kan bare gjette hva som skal til for å "bevise" at de er mennesker.
Hva er CAPTCHA? En CAPTCHA er en omvendt Turing-test som tar form av en utfordring-respons-test. For eksempel, hvis den instruerer brukere om å "velge alle bilder med trapper", må de velge trappene ut fra rekkverk, innkjørsler og fotgjengeroverganger. Alternativt kan de bli bedt om å skrive inn teksten de ser, legge til summen av terningansikter eller fullføre et skyvepuslespill. Bildebaserte CAPTCHA-er er ansvarlige for de mest frustrerende delte opplevelsene internettbrukere har - å bestemme om de skal velge en firkant når bare en liten del av det aktuelle objektet er i den.
Uavhengig av metoden, avgjør en datamaskin eller algoritme til slutt om testpersonen er menneske eller maskin. Denne autentiseringstjenesten har skapt mange avleggere, inkludert reCAPTCHA og hCAPTCHA. Det har til og med ført til opprettelsen av hele selskaper, som GeeTest og Arkose Labs. Det Google-eide automatiserte systemet reCAPTCHA krever at brukere klikker på en avmerkingsboks merket "Jeg er ikke en robot" for autentisering. Den kjører en adaptiv analyse i bakgrunnen for å tildele en risikoscore. hCAPTCHA er et bildeklassifiseringsbasert alternativ. Andre autentiseringsmetoder inkluderer multifaktorautentisering (MFA), QR-koder, midlertidige personlige identifikasjonsnumre (PIN-er) og biometri. De følger ikke utfordring-svar-formelen, men tjener grunnleggende lignende formål. Disse avleggerne er ment å være bedre enn originalen, men de oppfyller ofte ikke moderne tilgjengelighetsstandarder. Ta for eksempel hCaptcha, som bruker en informasjonskapsel for å la deg omgå utfordring-svar-testen helt. Det er en god idé i teorien, men det fungerer ikke i praksis. Du skal motta en engangskode via e-post som du sender til et bestemt nummer via SMS. Brukere rapporterer å motta endeløse feilmeldinger, noe som tvinger dem til å fullføre standard tekst CAPTCHA. Dette er bare tilgjengelig hvis nettstedet eksplisitt aktivert det under konfigurasjonen. Hvis det ikke er satt opp, må du fullføre en bildeutfordring som ikke gjenkjenner skjermlesere. Selv når den første prosessen fungerer, er påfølgende autentisering avhengig av en tredjeparts informasjonskapsel på tvers av nettsteder, som de fleste nettlesere blokkerer automatisk. Dessuten utløper koden etter en kort periode, så du må gjøre om hele prosessen hvis det tar deg for lang tid å gå videre til neste trinn. Hvorfor bruker team CAPTCHA og lignende autentiseringsmetoder? CAPTCHA er vanlig fordi det er enkelt å sette opp. Utviklere kan programmere den til å vises, og den utfører testen automatisk. På denne måten kan de fokusere på viktigere saker samtidig som de forhindrer spam, svindel og misbruk. Disse verktøyene skal gjøre det enklere for mennesker å bruke internett trygt, men de hindrer ofte ekte mennesker i å logge på. Disse testene resulterer i en dårlig brukeropplevelse totalt sett. En studie fant at brukere kastet bort over 819 millioner timer på over 512 milliarder reCAPTCHA v2-økter i 2023. Til tross for alt, råder bots. Maskinlæringsmodeller kan løse tekstbasert CAPTCHA i løpet av brøkdeler av et sekund med over 97 % nøyaktighet. En studie fra 2024 på Googles reCAPTCHA v2 – som fortsatt er mye brukt til tross for utrullingen av reCAPTCHA v3 – fant at roboter kan løse bildeklassifisering CAPTCHA med opptil 100 % nøyaktighet, avhengig av objektet de har i oppgave å identifisere. Forskerne brukte en gratis, åpen kildekode-modell, noe som betyr at dårlige skuespillere lett kunne replikere arbeidet sitt. Hvorfor bør nettutviklere slutte å bruke CAPTCHA? Autentiseringsmetoder som CAPTCHA har et tilgjengelighetsproblem. Maskinlæringsfremskritt tvang disse tjenestene til å bli stadig mer komplekse. Selv fortsatt er de ikke idiotsikre. Bots fårdet stemmer mer enn folk gjør. Forskning viser at de kan fullføre reCAPTCHA innen 17,5 sekunder, og oppnå 85 % nøyaktighet. Mennesker bruker lengre tid og er mindre nøyaktige. Mange mislykkes i CAPTCHA-tester og aner ikke hva de gjorde galt. For eksempel virker en melding som instruerer brukere om å "velge alle ruter med trafikklys" enkel nok, men det blir komplisert hvis en del av stangen er i et annet torg. Bør de velge den boksen, eller er det det en algoritme ville gjort? Selv om bot-evnen har vokst i størrelsesorden, har mennesker forblitt de samme. Etter hvert som testene blir stadig vanskeligere, føler de seg mindre tilbøyelige til å prøve dem. En undersøkelse viser at nesten 59 % av folk vil slutte å bruke et produkt etter flere dårlige opplevelser. Hvis autentiseringen er for tungvint eller kompleks, kan de slutte å bruke nettstedet helt. Folk kan mislykkes i disse testene av ulike årsaker, inkludert tekniske. Hvis de blokkerer tredjeparts informasjonskapsler, har en lokal proxy kjører eller ikke har oppdatert nettleseren på en stund, kan de fortsette å mislykkes, uavhengig av hvor mange ganger de prøver. Autentiseringsproblemer med CAPTCHA På grunn av grunnene nevnt ovenfor, er de fleste typer CAPTCHA iboende utilgjengelige. Dette gjelder spesielt for personer med nedsatt funksjonsevne, siden disse utfordring-respons-testene ikke ble designet med tanke på deres behov. Noen av de vanlige problemene inkluderer følgende: Problemer knyttet til bilder og bruk av skjermleser Skjermlesere kan ikke lese standard visuelle CAPTCHA-er, for eksempel den forvrengte teksttesten, siden de rotete, forvrengte ordene ikke er maskinlesbare. Metodene for bildeklassifisering og skyvepuslespill er på samme måte utilgjengelige. I en WebAIM-undersøkelse utført fra 2023 til 2024, var skjermleserbrukere enige om at CAPTCHA var det mest problematiske elementet, og rangerte det over tvetydige lenker, uventede skjermendringer, manglende alt-tekst, utilgjengelig søk og mangel på tastaturtilgjengelighet. Plassen på toppen har stort sett holdt seg uendret i over et tiår, noe som illustrerer dens historie med utilgjengelighet. Problemer knyttet til hørsel og lydbehandling Audio CAPTCHA-er er relativt uvanlige fordi beste praksiser for nettutvikling fraråder autoavspilling av lyd og understreker viktigheten av brukerkontroller. Imidlertid eksisterer lyd-CAPTCHA fortsatt. Personer som er tunghørte eller døve kan støte på en barriere når de prøver disse testene. Selv med hjelpeteknologi gjør den tilsiktede lydforvrengningen og bakgrunnsstøyen disse prøvene utfordrende for personer med auditive prosesseringsforstyrrelser å forstå. Problemer knyttet til motor og fingerferdighet Tester som krever motoriske ferdigheter og behendighet kan være utfordrende for de med motoriske funksjonshemminger eller fysiske funksjonshemminger. For eksempel kan noen med håndskjelving synes det er vanskelig å skyve gåtene. Også bildeklassifiseringstestene som laster inn flere bilder til ingen som passer kriteriene er igjen, kan utgjøre en utfordring. Problemer knyttet til kognisjon og språk Ettersom CAPTCHA-er blir stadig mer komplekse, tyr noen utviklere til tester som krever en kombinasjon av kreativ og kritisk tenkning. De som krever at brukere løser et matematisk problem eller fullfører et puslespill, kan være utfordrende for personer med dysleksi, dyskalkuli, visuelle prosesseringsforstyrrelser eller kognitive svekkelser. Hvorfor hjelpeteknologi ikke vil bygge bro over gapet CAPTCHA-er er med hensikt designet for at mennesker skal tolke og løse, så hjelpeteknologi som skjermlesere og håndfrie kontroller kan være til liten hjelp. Spesielt ReCAPTCHA utgjør et problem fordi det analyserer bakgrunnsaktivitet. Hvis den flagger tilgjengelighetsenhetene som roboter, vil den tjene en potensielt utilgjengelig CAPTCHA. Selv om denne teknologien kan bygge bro over gapet, bør ikke nettutviklere forvente det. Bransjestandarder tilsier at de skal følge universelle utformingsprinsipper for å gjøre nettsidene deres så tilgjengelige og funksjonelle som mulig. CAPTCHAs tilgjengelighetsproblemer kunne blitt tilgitt hvis det var et effektivt sikkerhetsverktøy, men det er langt fra idiotsikkert siden roboter får det riktig mer enn mennesker gjør. Hvorfor fortsette å bruke en metode som er ineffektiv og skaper barrierer for mennesker med nedsatt funksjonsevne? Det finnes bedre alternativer. Prinsipper for tilgjengelig autentisering Ideen om at mennesker konsekvent skal utkonkurrere algoritmer er utdatert. Det finnes bedre autentiseringsmetoder, for eksempel multifaktorautentisering (MFA). Tofaktorautentiseringsmarkedet vil være verdt anslagsvis 26,7 milliarder dollar innen 2027, noe som understreker populariteten. Dette verktøyeter mer effektiv enn en CAPTCHA fordi den forhindrer uautorisert tilgang, selv med legitim legitimasjon.
Sørg for at MFA-teknikken din er tilgjengelig. I stedet for å la besøkende på nettstedet transkribere komplekse koder, bør du sende push-varsler eller SMS-meldinger. Stol på autofyll bekreftelseskoden for å automatisk fange og skrive inn koden. Alternativt kan du introdusere en "husk denne enheten"-funksjonen for å hoppe over autentisering på pålitelige enheter. Apples tofaktorautentiseringstilnærming er designet på denne måten. En pålitelig enhet viser automatisk en sekssifret bekreftelseskode, slik at de ikke trenger å søke etter den. Når du blir bedt om det, kan iPhone-brukere trykke på forslaget som vises over mobiltastaturet for autofyll.
Enkel pålogging er et annet alternativ. Denne sesjons- og brukerautentiseringstjenesten lar folk logge på flere nettsteder eller applikasjoner med ett enkelt sett med påloggingsinformasjon, noe som minimerer behovet for gjentatt identitetsverifisering. Engangsbruk "magiske lenker" er et utmerket alternativ til reCAPTCHA og midlertidige PIN-koder. I stedet for å huske en kode eller løse et puslespill, klikker brukeren på en knapp. Unngå å pålegge tidsfrister fordi, i henhold til WCAG suksesskriterium 2.2.3, bør brukere ikke møte tidsbegrensninger siden funksjonshemmede kan trenge mer tid til å fullføre spesifikke handlinger. Alternativt kan du bruke Cloudflare Turnstile. Den autentiserer uten å vise en CAPTCHA, og de fleste trenger aldri å merke av i en boks eller trykke på en knapp. Programvaren fungerer ved å utstede en liten JavaScript-utfordring bak kulissene for å automatisk skille mellom roboter og mennesker. Cloudflare Turnstile kan bygges inn i et hvilket som helst nettsted, noe som gjør det til et utmerket alternativ til standard klassifiseringsoppgaver. Testing og evaluering av tilgjengelige autentiseringsdesign Testing og evaluering av tilgjengelige alternative autentiseringsmetoder er avgjørende. Mange design ser bra ut på papiret, men fungerer ikke i praksis. Hvis mulig, samle tilbakemeldinger fra faktiske brukere. En åpen beta kan være en effektiv måte å maksimere synlighet. Husk at generelle tilgjengelighetshensyn ikke bare gjelder personer med nedsatt funksjonsevne. De inkluderer også de som er nevrodivergent, mangler tilgang til en mobil enhet eller bruker hjelpeteknologi. Sørg for at dine alternative design vurderer disse personene.
Realistisk sett kan du ikke lage et perfekt system siden alle er unike. Mange mennesker sliter med å følge flertrinnsprosesser, løse ligninger, behandle komplekse instruksjoner eller huske passord. Mens universelle webdesignprinsipper kan forbedre fleksibiliteten, kan ingen enkeltløsning dekke alles behov. Uavhengig av autentiseringsteknikken du bruker, bør du presentere brukere med flere autentiseringsalternativer på forhånd. De kjenner sine evner best, så la dem bestemme hva de skal bruke i stedet for å prøve å overkonstruere en løsning som fungerer for hver kantkasse. Ta tak i tilgjengelighetsproblemet med designendringer En person med håndskjelvinger kan være ute av stand til å fullføre et glidende puslespill, mens noen med en lydbehandlingsforstyrrelse kan ha problemer med forvrengte lydprøver. Du kan imidlertid ikke bare erstatte CAPTCHA med alternativer fordi de ofte er like utilgjengelige. QR-koder kan for eksempel være vanskelige å skanne for de med redusert finmotorisk kontroll. Personer som er synshemmede kan slite med å finne det på skjermen. Tilsvarende kan biometri utgjøre et problem for personer med ansiktsdeformasjoner eller et begrenset bevegelsesområde. Å ta tak i tilgjengelighetsproblemet krever kreativ tenkning. Du kan starte med å besøke Web Accessibility Initiatives tilgjengelighetsveiledninger for utviklere for bedre å forstå universell utforming. Selv om disse veiledningene fokuserer mer på innhold enn autentisering, kan du fortsatt bruke dem til din fordel. W3C Group Draft Note on the Inaccessibility of CAPTCHA gir mer relevant veiledning. Det er like enkelt å komme i gang som å undersøke beste praksis. Det er viktig å forstå det grunnleggende fordi det ikke finnes noen universell løsning for tilgjengelig webdesign. Hvis du ønsker å optimalisere tilgjengeligheten, bør du vurdere å hente tilbakemeldinger fra folk som faktisk besøker nettstedet ditt. Videre lesing
"CAPTCHA: Perspectives and Challenges," Darko Brodić og Alessia Amelio "Designe tilgjengelig tekst over bilder: beste praksis, teknikker og ressurser," Hannah Milan "På jakt etter den beste CAPTCHA," David Bushell "WCAG 3.0s foreslåtte scoringsmodell: A Shifti tilgjengelighetsvurdering," Mikhail Prosmitskiy
