Całkowicie zautomatyzowany publiczny test Turinga pozwalający odróżnić komputery od ludzi (CAPTCHA) na stałe zakorzenił się w przeglądaniu Internetu, odkąd komputery osobiste nabrały rozpędu na rynku elektroniki użytkowej. Niemal tak długo, jak ludzie korzystali z Internetu, twórcy stron internetowych szukali sposobów blokowania botów spamujących. Usługa CAPTCHA rozróżnia aktywność ludzi i botów, aby uniemożliwić botom. Niestety, jego metody są mało precyzyjne. Próbując chronić ludzi, programiści sprawili, że duża część Internetu stała się niedostępna dla osób niepełnosprawnych.
Metody uwierzytelniania, takie jak CAPTCHA, zazwyczaj wykorzystują klasyfikację obrazu, łamigłówki, próbki audio lub testy oparte na kliknięciach w celu ustalenia, czy użytkownik jest człowiekiem. Chociaż rodzaje wyzwań są dobrze udokumentowane, ich logika nie jest powszechnie znana. Ludzie mogą się tylko domyślać, czego potrzeba, aby „udowodnić”, że są ludźmi.
Co to jest CAPTCHA? CAPTCHA to odwrotny test Turinga, który przyjmuje formę testu wyzwanie-odpowiedź. Na przykład, jeśli użytkownik instruuje, aby „wybrał wszystkie obrazy ze schodami”, musi wybrać schody spośród balustrad, podjazdów i przejść dla pieszych. Alternatywnie mogą zostać poproszeni o wpisanie widocznego tekstu, dodanie sumy ścianek kostek lub ułożenie przesuwanej układanki. Oparte na obrazach kody CAPTCHA odpowiadają za najbardziej frustrujące wspólne doświadczenia użytkowników Internetu — podejmowanie decyzji o wybraniu kwadratu, gdy znajduje się w nim tylko niewielki fragment danego obiektu.
Niezależnie od metody, komputer lub algorytm ostatecznie określa, czy osoba zdająca jest człowiekiem, czy maszyną. Ta usługa uwierzytelniania dała początek wielu odgałęzieniom, w tym reCAPTCHA i hCAPTCHA. Doprowadziło to nawet do powstania całych firm, takich jak GeeTest i Arkose Labs. Zautomatyzowany system reCAPTCHA należący do Google wymaga od użytkowników kliknięcia pola wyboru „Nie jestem robotem” w celu uwierzytelnienia. W tle przeprowadza analizę adaptacyjną w celu przypisania oceny ryzyka. hCAPTCHA to alternatywa oparta na klasyfikacji obrazów. Inne metody uwierzytelniania obejmują uwierzytelnianie wieloskładnikowe (MFA), kody QR, tymczasowe osobiste numery identyfikacyjne (PIN) i dane biometryczne. Nie stosują się do formuły wyzwanie-odpowiedź, ale służą zasadniczo podobnym celom. Te odgałęzienia mają być lepsze od oryginału, ale często nie spełniają nowoczesnych standardów dostępności. Weźmy na przykład hCaptcha, który wykorzystuje plik cookie, aby umożliwić całkowite ominięcie testu wyzwanie-odpowiedź. To świetny pomysł w teorii, ale nie sprawdza się w praktyce. Powinieneś otrzymać jednorazowy kod e-mailem, który wyślesz na konkretny numer SMS-em. Użytkownicy zgłaszają otrzymywanie niekończących się komunikatów o błędach, zmuszających ich do uzupełnienia standardowego tekstu CAPTCHA. Ta opcja jest dostępna tylko wtedy, gdy witryna wyraźnie ją włączyła podczas konfiguracji. Jeśli nie jest skonfigurowany, musisz ukończyć wyzwanie obrazowe, które nie rozpoznaje czytników ekranu. Nawet jeśli początkowy proces się powiedzie, późniejsze uwierzytelnianie opiera się na plikach cookie pochodzących z innych witryn, które większość przeglądarek blokuje automatycznie. Ponadto kod wygasa po krótkim czasie, więc musisz powtórzyć cały proces, jeśli przejście do następnego kroku zajmie Ci zbyt dużo czasu. Dlaczego zespoły używają CAPTCHA i podobnych metod uwierzytelniania? CAPTCHA jest powszechne, ponieważ jest łatwe w konfiguracji. Programiści mogą zaprogramować jego pojawienie się, a on automatycznie przeprowadzi test. W ten sposób mogą skupić się na ważniejszych sprawach, jednocześnie zapobiegając spamowi, oszustwom i nadużyciom. Narzędzia te mają ułatwiać ludziom bezpieczne korzystanie z Internetu, ale często uniemożliwiają zalogowanie się prawdziwym ludziom. Testy te powodują ogólnie słabe wrażenia użytkownika. Jedno z badań wykazało, że do 2023 r. użytkownicy zmarnowali ponad 819 milionów godzin na ponad 512 miliardach sesji reCAPTCHA v2. Mimo wszystko boty przeważają. Modele uczenia maszynowego potrafią rozwiązywać tekstowe CAPTCHA w ułamku sekundy z dokładnością ponad 97%. Badanie przeprowadzone w 2024 r. na temat narzędzia Google reCAPTCHA v2 – które jest nadal szeroko stosowane pomimo wprowadzenia reCAPTCHA v3 – wykazało, że boty mogą rozwiązywać klasyfikacje obrazów CAPTCHA ze 100% dokładnością, w zależności od obiektu, który mają zidentyfikować. Badacze zastosowali darmowy model o otwartym kodzie źródłowym, co oznacza, że nieuczciwi aktorzy mogliby z łatwością odtworzyć swoją pracę. Dlaczego twórcy stron internetowych powinni przestać używać CAPTCHA? Metody uwierzytelniania, takie jak CAPTCHA, mają problem z dostępnością. Postęp w zakresie uczenia maszynowego zmusił te usługi do stania się coraz bardziej złożone. Mimo to nie są niezawodne. Boty dostająma rację bardziej niż ludzie. Badania pokazują, że potrafią ukończyć reCAPTCHA w ciągu 17,5 sekundy, osiągając 85% dokładności. U ludzi trwa to dłużej i jest mniej dokładne. Wiele osób nie zdaje testów CAPTCHA i nie ma pojęcia, co zrobili źle. Na przykład monit instruujący użytkowników, aby „wybrali wszystkie kwadraty z sygnalizacją świetlną” wydaje się dość prosty, ale komplikuje się, jeśli kawałek słupa znajduje się w innym kwadracie. Czy powinni wybrać to pole, czy też zrobiłby to algorytm? Chociaż możliwości botów znacznie wzrosły, ludzie pozostali tacy sami. W miarę jak testy stają się coraz trudniejsze, czują się mniej skłonni do ich podejmowania. Jedno z badań pokazuje, że prawie 59% osób przestanie używać produktu po kilku złych doświadczeniach. Jeśli uwierzytelnianie jest zbyt kłopotliwe lub złożone, mogą całkowicie zaprzestać korzystania z witryny. Ludzie mogą nie przejść tych testów z różnych powodów, w tym technicznych. Jeśli blokują pliki cookie stron trzecich, mają uruchomiony lokalny serwer proxy lub od jakiegoś czasu nie aktualizowali przeglądarki, mogą one ciągle kończyć się niepowodzeniem, niezależnie od tego, ile razy będą próbowały. Problemy z uwierzytelnianiem przy użyciu CAPTCHA Z powodów wymienionych powyżej większość typów CAPTCHA jest z natury niedostępna. Jest to szczególnie prawdziwe w przypadku osób niepełnosprawnych, ponieważ te testy typu wyzwanie-reakcja nie zostały zaprojektowane z myślą o ich potrzebach. Niektóre z typowych problemów obejmują: Problemy związane z efektami wizualnymi i użyciem czytnika ekranu Czytniki ekranu nie mogą odczytać standardowych wizualnych kodów CAPTCHA, takich jak test zniekształconego tekstu, ponieważ pomieszanych i zniekształconych słów nie można odczytać maszynowo. Podobnie niedostępne są metody klasyfikacji obrazów i przesuwanych puzzli. W jednej ankiecie WebAIM przeprowadzonej w latach 2023–2024 użytkownicy czytników ekranu zgodzili się, że CAPTCHA jest najbardziej problematycznym elementem, umieszczając go powyżej niejednoznacznych linków, nieoczekiwanych zmian na ekranie, braku tekstu alternatywnego, niedostępnego wyszukiwania i braku dostępności klawiatury. Jego miejsce na szczycie pozostało w dużej mierze niezmienione przez ponad dekadę, co ilustruje jego historię niedostępności. Zagadnienia związane ze słuchem i przetwarzaniem dźwięku Audio CAPTCHA są stosunkowo rzadkie, ponieważ najlepsze praktyki tworzenia stron internetowych odradzają automatyczne odtwarzanie dźwięku i podkreślają znaczenie kontroli użytkownika. Jednak audio CAPTCHA nadal istnieją. Osoby niedosłyszące lub głuche mogą napotkać barierę podczas próby wykonania tych testów. Nawet w przypadku technologii wspomagających celowe zniekształcenie dźwięku i szum tła sprawiają, że zrozumienie tych próbek jest trudne dla osób z zaburzeniami przetwarzania słuchowego. Zagadnienia związane z motoryką i zręcznością Egzaminy wymagające umiejętności motorycznych i zręcznościowych mogą stanowić wyzwanie dla osób z zaburzeniami motorycznymi lub niepełnosprawnością fizyczną. Na przykład dla osoby z drżeniem rąk układanie puzzli może być trudne. Wyzwaniem mogą być także testy klasyfikacji obrazów, które ładują więcej obrazów, aż nie pozostanie żaden spełniający kryteria. Zagadnienia związane z poznaniem i językiem Ponieważ kody CAPTCHA stają się coraz bardziej złożone, niektórzy programiści zwracają się w stronę testów wymagających połączenia kreatywnego i krytycznego myślenia. Te, które wymagają od użytkowników rozwiązania problemu matematycznego lub dokończenia łamigłówki, mogą stanowić wyzwanie dla osób z dysleksją, dyskalkulią, zaburzeniami przetwarzania wzrokowego lub zaburzeniami poznawczymi. Dlaczego technologia wspomagająca nie wypełni luki Kody CAPTCHA są celowo zaprojektowane tak, aby ludzie mogli je interpretować i rozwiązywać, więc technologie wspomagające, takie jak czytniki ekranu i sterowanie bez użycia rąk, mogą być mało pomocne. W szczególności ReCAPTCHA stwarza problem, ponieważ analizuje aktywność w tle. Jeśli oznaczy urządzenia ułatwień dostępu jako boty, wyświetli potencjalnie niedostępny kod CAPTCHA. Nawet jeśli ta technologia mogłaby wypełnić tę lukę, twórcy stron internetowych nie powinni tego oczekiwać. Standardy branżowe nakazują, aby firmy przestrzegały uniwersalnych zasad projektowania, aby ich strony internetowe były jak najbardziej dostępne i funkcjonalne. Problemy z dostępnością CAPTCHA można by wybaczyć, gdyby było to skuteczne narzędzie bezpieczeństwa, ale nie jest ono niezawodne, ponieważ boty radzą sobie z tym lepiej niż ludzie. Po co dalej stosować metodę, która jest nieskuteczna i stwarza bariery dla osób niepełnosprawnych? Są lepsze alternatywy. Zasady dostępnego uwierzytelniania Pomysł, że ludzie powinni stale przewyższać algorytmy, jest przestarzały. Istnieją lepsze metody uwierzytelniania, takie jak uwierzytelnianie wieloskładnikowe (MFA). Wartość rynku uwierzytelniania dwuskładnikowego do 2027 r. będzie szacowana na 26,7 miliarda dolarów, co podkreśli jego popularność. To narzędziejest skuteczniejszy niż CAPTCHA, ponieważ zapobiega nieautoryzowanemu dostępowi, nawet przy użyciu prawidłowych danych uwierzytelniających.
Upewnij się, że Twoja technika MFA jest dostępna. Zamiast zlecać odwiedzającym witrynę transkrypcję skomplikowanych kodów, powinieneś wysyłać powiadomienia push lub wiadomości SMS. Polegaj na automatycznym uzupełnianiu kodu weryfikacyjnego, który automatycznie przechwytuje i wprowadza kod. Alternatywnie możesz wprowadzić funkcję „zapamiętaj to urządzenie”, aby pominąć uwierzytelnianie na zaufanych urządzeniach. W ten sposób zaprojektowano podejście Apple do uwierzytelniania dwuskładnikowego. Zaufane urządzenie automatycznie wyświetla sześciocyfrowy kod weryfikacyjny, dzięki czemu nie musi go szukać. Po wyświetleniu monitu użytkownicy iPhone'a mogą kliknąć sugestię wyświetlaną nad klawiaturą telefonu komórkowego w celu automatycznego wypełnienia.
Inną opcją jest jednokrotne logowanie. Ta usługa uwierzytelniania sesji i użytkownika umożliwia logowanie się do wielu witryn internetowych lub aplikacji za pomocą jednego zestawu danych logowania, minimalizując potrzebę ponownej weryfikacji tożsamości. Jednorazowe „magiczne linki” są doskonałą alternatywą dla reCAPTCHA i tymczasowych PIN-ów. Zamiast zapamiętywać kod lub rozwiązywać zagadkę, użytkownik klika przycisk. Unikaj narzucania terminów, ponieważ zgodnie z Kryterium Sukcesu WCAG 2.2.3 użytkownicy nie powinni napotykać ograniczeń czasowych, ponieważ osoby niepełnosprawne mogą potrzebować więcej czasu na wykonanie określonych działań. Alternatywnie możesz użyć kołowrotu Cloudflare. Uwierzytelnia się bez pokazywania CAPTCHA, a większość ludzi nie musi nawet zaznaczać pola ani naciskać przycisku. Oprogramowanie działa w oparciu o małe wyzwanie JavaScript, które za kulisami automatycznie odróżnia boty od ludzi. Cloudflare Turnstile można osadzić w dowolnej witrynie internetowej, co czyni go doskonałą alternatywą dla standardowych zadań klasyfikacyjnych. Testowanie i ocena dostępnych projektów uwierzytelniania Niezbędne jest testowanie i ocena dostępnych alternatywnych metod uwierzytelniania. Wiele projektów wygląda dobrze na papierze, ale nie sprawdza się w praktyce. Jeśli to możliwe, zbierz opinie od rzeczywistych użytkowników. Otwarta wersja beta może być skutecznym sposobem na maksymalizację widoczności. Należy pamiętać, że ogólne względy dotyczące dostępności nie dotyczą wyłącznie osób niepełnosprawnych. Należą do nich również osoby z neuroróżnorodnością, nieposiadające dostępu do urządzenia mobilnego lub korzystające z technologii wspomagających. Upewnij się, że Twoje alternatywne projekty uwzględniają te osoby.
Realistycznie rzecz biorąc, nie można stworzyć idealnego systemu, ponieważ każdy jest wyjątkowy. Wiele osób ma trudności z realizacją wieloetapowych procesów, rozwiązywaniem równań, przetwarzaniem złożonych instrukcji lub zapamiętywaniem haseł. Chociaż uniwersalne zasady projektowania stron internetowych mogą poprawić elastyczność, żadne pojedyncze rozwiązanie nie zaspokoi potrzeb wszystkich. Niezależnie od używanej techniki uwierzytelniania należy od razu udostępnić użytkownikom wiele opcji uwierzytelniania. Oni najlepiej znają swoje możliwości, więc pozwól im zdecydować, czego użyć, zamiast próbować przekombinować rozwiązanie, które sprawdzi się w każdym przypadku brzegowym. Rozwiąż problem dostępności poprzez zmiany w projekcie Osoba z drżeniem rąk może nie być w stanie ułożyć układanki, natomiast osoba z zaburzeniami przetwarzania dźwięku może mieć problemy ze zniekształconymi próbkami audio. Nie można jednak po prostu zastąpić CAPTCHA alternatywami, ponieważ często są one równie niedostępne. Na przykład kody QR mogą być trudne do zeskanowania w przypadku osób o ograniczonej kontroli motorycznej. Osoby niedowidzące mogą mieć trudności ze znalezieniem tego na ekranie. Podobnie dane biometryczne mogą stanowić problem dla osób ze deformacjami twarzy lub ograniczonym zakresem ruchu. Rozwiązanie problemu dostępności wymaga kreatywnego myślenia. Możesz zacząć od odwiedzenia samouczków dotyczących dostępności opracowanych przez Web Accessibility Initiative dla programistów, aby lepiej zrozumieć projektowanie uniwersalne. Chociaż te samouczki skupiają się bardziej na treści niż na uwierzytelnianiu, nadal możesz wykorzystać je na swoją korzyść. Bardziej odpowiednie wytyczne znajdują się w projekcie notatki Grupy W3C w sprawie niedostępności CAPTCHA. Rozpoczęcie pracy jest tak proste, jak zapoznanie się z najlepszymi praktykami. Zrozumienie podstaw jest niezbędne, ponieważ nie ma uniwersalnego rozwiązania w zakresie projektowania dostępnych stron internetowych. Jeśli chcesz zoptymalizować dostępność, rozważ pozyskanie informacji zwrotnych od osób, które faktycznie odwiedzają Twoją witrynę. Dalsze czytanie
„CAPTCHA: perspektywy i wyzwania”, Darko Brodić i Alessia Amelio „Projektowanie przystępnego tekstu na obrazach: najlepsze praktyki, techniki i zasoby”, Hannah Milan „W poszukiwaniu najlepszego CAPTCHA”, David Bushel „Proponowany model punktacji WCAG 3.0: zmianaw ocenie dostępności”, Michaił Prosmitski
