Det fullständigt automatiserade publika Turing-testet för att tala om för datorer och människor åtskilda (CAPTCHA) har fastnat i internetsurfandet sedan persondatorer tog fart på marknaden för konsumentelektronik. Under nästan lika länge som människor har varit online har webbutvecklare sökt sätt att blockera spambots. CAPTCHA-tjänsten skiljer mellan mänsklig och botaktivitet för att hålla botar ute. Tyvärr är dess metoder mindre än exakta. I sitt försök att skydda människor har utvecklare gjort mycket av webben otillgänglig för personer med funktionshinder.
Autentiseringsmetoder, som CAPTCHA, använder vanligtvis bildklassificering, pussel, ljudprover eller klickbaserade tester för att avgöra om användaren är människa. Även om typerna av utmaningar är väldokumenterade, är deras logik inte allmänt känd. Människor kan bara gissa vad som krävs för att "bevisa" att de är människor.
Vad är CAPTCHA? En CAPTCHA är ett omvänt Turing-test som tar formen av ett utmaning-svar-test. Till exempel, om det instruerar användarna att "välja alla bilder med trappor", måste de välja trappan från räcken, uppfarter och övergångsställen. Alternativt kan de bli ombedda att skriva in texten de ser, lägga till summan av tärningsytorna eller fylla i ett glidande pussel. Bildbaserade CAPTCHA:er är ansvariga för de mest frustrerande delade upplevelserna som internetanvändare har - att bestämma om de ska välja en kvadrat när bara en liten bit av objektet i fråga finns i den.
Oavsett metod avgör en dator eller algoritm i slutändan om testtagaren är människa eller maskin. Denna autentiseringstjänst har gett upphov till många utlöpare, inklusive reCAPTCHA och hCAPTCHA. Det har till och med lett till skapandet av hela företag, som GeeTest och Arkose Labs. Det Google-ägda automatiserade systemet reCAPTCHA kräver att användare klickar på en kryssruta märkt "Jag är inte en robot" för autentisering. Den kör en adaptiv analys i bakgrunden för att tilldela ett riskpoäng. hCAPTCHA är ett bildklassificeringsbaserat alternativ. Andra autentiseringsmetoder inkluderar multi-factor authentication (MFA), QR-koder, temporära personliga identifieringsnummer (PIN) och biometri. De följer inte utmaning-svar-formeln, utan tjänar i grunden liknande syften. Dessa utlöpare är avsedda att vara bättre än originalet, men de uppfyller ofta inte moderna tillgänglighetsstandarder. Ta till exempel hCaptcha, som använder en cookie för att låta dig kringgå utmaning-svar-testet helt. Det är en bra idé i teorin, men det fungerar inte i praktiken. Du ska få en engångskod via e-post som du skickar till ett specifikt nummer via SMS. Användare rapporterar att de får oändliga felmeddelanden, vilket tvingar dem att fylla i standardtexten CAPTCHA. Detta är endast tillgängligt om webbplatsen uttryckligen aktiverade det under konfigurationen. Om det inte är konfigurerat måste du slutföra en bildutmaning som inte känner igen skärmläsare. Även när den första processen fungerar, förlitar sig efterföljande autentisering på en tredjepartscookie på flera webbplatser, som de flesta webbläsare blockerar automatiskt. Dessutom upphör koden efter en kort period, så du måste göra om hela processen om det tar för lång tid att gå vidare till nästa steg. Varför använder team CAPTCHA och liknande autentiseringsmetoder? CAPTCHA är vanligt eftersom det är lätt att ställa in. Utvecklare kan programmera det så att det visas, och det utför testet automatiskt. På så sätt kan de fokusera på viktigare frågor samtidigt som de förhindrar skräppost, bedrägerier och missbruk. Dessa verktyg är tänkta att göra det lättare för människor att använda internet på ett säkert sätt, men de hindrar ofta riktiga människor från att logga in. Dessa tester resulterar i en dålig användarupplevelse totalt sett. En studie fann att användare slösat bort över 819 miljoner timmar på över 512 miljarder reCAPTCHA v2-sessioner från och med 2023. Trots allt har bots överhand. Maskininlärningsmodeller kan lösa textbaserad CAPTCHA på bråkdelar av en sekund med över 97 % noggrannhet. En studie från 2024 om Googles reCAPTCHA v2 – som fortfarande används i stor utsträckning trots lanseringen av reCAPTCHA v3 – fann att bots kan lösa bildklassificering CAPTCHA med upp till 100 % noggrannhet, beroende på vilket objekt de har till uppgift att identifiera. Forskarna använde en gratis modell med öppen källkod, vilket innebär att dåliga aktörer lätt kan replikera sitt arbete. Varför ska webbutvecklare sluta använda CAPTCHA? Autentiseringsmetoder som CAPTCHA har ett tillgänglighetsproblem. Framsteg inom maskininlärning tvingade dessa tjänster att bli allt mer komplexa. Ändå är de inte idiotsäkra. Bots fårdet stämmer mer än vad folk gör. Forskning visar att de kan slutföra reCAPTCHA inom 17,5 sekunder, vilket uppnår 85 % noggrannhet. Människor tar längre tid och är mindre exakta. Många människor misslyckas med CAPTCHA-test och har ingen aning om vad de gjorde för fel. Till exempel verkar en uppmaning som instruerar användarna att "välja alla rutor med trafikljus" enkel nog, men det blir komplicerat om en flisa av stolpen är i en annan ruta. Ska de välja den rutan, eller är det vad en algoritm skulle göra? Även om bot-kapaciteten har vuxit i storlek, har människor förblivit desamma. När tester blir allt svårare känner de sig mindre benägna att försöka dem. En undersökning visar att nästan 59 % av människor kommer att sluta använda en produkt efter flera dåliga upplevelser. Om autentiseringen är för krånglig eller komplicerad kan de sluta använda webbplatsen helt. Människor kan misslyckas med dessa test av olika anledningar, inklusive tekniska. Om de blockerar tredjepartscookies, har en lokal proxy igång eller inte har uppdaterat sin webbläsare på ett tag, kan de fortsätta att misslyckas, oavsett hur många gånger de försöker. Autentiseringsproblem med CAPTCHA På grund av de skäl som nämns ovan är de flesta typer av CAPTCHA i sig otillgängliga. Detta gäller särskilt för personer med funktionsnedsättning, eftersom dessa utmaning-svar-test inte utformades med deras behov i åtanke. Några av de vanligaste problemen inkluderar följande: Problem relaterade till bilder och användning av skärmläsare Skärmläsare kan inte läsa vanliga visuella CAPTCHA:er, såsom testet för förvrängd text, eftersom de förvrängda, förvrängda orden inte är maskinläsbara. Metoderna för bildklassificering och glidande pussel är på liknande sätt otillgängliga. I en WebAIM-undersökning som genomfördes från 2023 till 2024, var skärmläsaranvändare överens om att CAPTCHA var det mest problematiska objektet, rankade det ovanför tvetydiga länkar, oväntade skärmändringar, saknad alt-text, otillgänglig sökning och brist på tangentbordstillgänglighet. Dess plats i toppen har varit i stort sett oförändrad i över ett decennium, vilket illustrerar dess historia av otillgänglighet. Frågor relaterade till hörsel och ljudbehandling Audio CAPTCHAs är relativt ovanliga eftersom bästa praxis för webbutveckling avråder från automatisk uppspelning av ljud och betonar vikten av användarkontroller. Ljud-CAPTCHA finns dock fortfarande. Människor som är hörselskadade eller döva kan stöta på en barriär när de försöker dessa tester. Även med hjälpmedelsteknik gör den avsiktliga ljudförvrängningen och bakgrundsljudet dessa sampel utmanande för individer med hörselbearbetningsstörningar att förstå. Frågor relaterade till motorik och fingerfärdighet Tester som kräver motoriska och fingerfärdiga färdigheter kan vara utmanande för personer med motoriska funktionsnedsättningar eller fysiska funktionshinder. Till exempel kan någon med en handskakande tycka att de glidande pusslen är svåra. Dessutom kan testerna för bildklassificering som laddar fler bilder tills ingen som uppfyller kriterierna finns kvar utgöra en utmaning. Frågor relaterade till kognition och språk I takt med att CAPTCHA blir allt mer komplexa vänder sig vissa utvecklare till tester som kräver en kombination av kreativt och kritiskt tänkande. De som kräver att användare löser ett matematiskt problem eller fyller ett pussel kan vara utmanande för personer med dyslexi, dyskalkyli, synstörningar eller kognitiva funktionsnedsättningar. Varför hjälpmedel inte överbryggar klyftan CAPTCHA är avsiktligt utformade för att människor ska kunna tolka och lösa, så hjälpmedel som skärmläsare och handsfree-kontroller kan vara till liten hjälp. ReCAPTCHA i synnerhet utgör ett problem eftersom det analyserar bakgrundsaktivitet. Om den flaggar tillgänglighetsenheterna som bots, kommer den att tjäna en potentiellt otillgänglig CAPTCHA. Även om den här tekniken skulle kunna överbrygga klyftan, borde webbutvecklare inte förvänta sig att det skulle göra det. Branschstandarder dikterar att de ska följa principer för universell design för att göra sina webbplatser så tillgängliga och funktionella som möjligt. CAPTCHAs tillgänglighetsproblem skulle kunna förlåtas om det var ett effektivt säkerhetsverktyg, men det är långt ifrån idiotsäkert eftersom bots får det rätt mer än vad människor gör. Varför fortsätta använda en metod som är ineffektiv och skapar barriärer för personer med funktionsnedsättning? Det finns bättre alternativ. Principer för tillgänglig autentisering Tanken att människor konsekvent ska överträffa algoritmer är föråldrad. Det finns bättre autentiseringsmetoder, som multifaktorautentisering (MFA). Marknaden för tvåfaktorsautentisering kommer att vara värd uppskattningsvis 26,7 miljarder dollar 2027, vilket understryker dess popularitet. Detta verktygär effektivare än en CAPTCHA eftersom den förhindrar obehörig åtkomst, även med legitima referenser.
Se till att din MFA-teknik är tillgänglig. Istället för att låta webbplatsbesökare transkribera komplexa koder bör du skicka push-meddelanden eller SMS-meddelanden. Lita på att verifieringskoden automatiskt fyller i för att automatiskt fånga och ange koden. Alternativt kan du introducera en "kom ihåg denna enhet"-funktion för att hoppa över autentisering på betrodda enheter. Apples tvåfaktorsautentiseringsmetod är utformad på detta sätt. En betrodd enhet visar automatiskt en sexsiffrig verifieringskod, så att de inte behöver söka efter den. När du uppmanas kan iPhone-användare trycka på förslaget som visas ovanför deras mobila tangentbord för autofyll.
Enkel inloggning är ett annat alternativ. Denna sessions- och användarautentiseringstjänst gör det möjligt för människor att logga in på flera webbplatser eller applikationer med en enda uppsättning inloggningsuppgifter, vilket minimerar behovet av upprepad identitetsverifiering. Engångsanvändning "magiska länkar" är ett utmärkt alternativ till reCAPTCHA och tillfälliga PIN-koder. Istället för att komma ihåg en kod eller lösa ett pussel, klickar användaren på en knapp. Undvik att införa deadlines eftersom, enligt WCAGs framgångskriterium 2.2.3, användare inte bör möta tidsbegränsningar eftersom personer med funktionshinder kan behöva mer tid för att genomföra specifika åtgärder. Alternativt kan du använda Cloudflare Turnstile. Den autentiserar utan att visa en CAPTCHA, och de flesta behöver aldrig ens markera en ruta eller trycka på en knapp. Mjukvaran fungerar genom att ge ut en liten JavaScript-utmaning bakom kulisserna för att automatiskt skilja mellan bots och människor. Cloudflare Turnstile kan bäddas in på vilken webbplats som helst, vilket gör det till ett utmärkt alternativ till vanliga klassificeringsuppgifter. Testning och utvärdering av tillgängliga autentiseringsdesigner Det är viktigt att testa och utvärdera dina tillgängliga alternativa autentiseringsmetoder. Många mönster ser bra ut på papper men fungerar inte i praktiken. Om möjligt, samla in feedback från faktiska användare. En öppen beta kan vara ett effektivt sätt att maximera synlighet. Kom ihåg att allmänna tillgänglighetshänsyn inte bara gäller personer med funktionsnedsättning. De inkluderar också de som är neurodivergenta, saknar tillgång till en mobil enhet eller använder hjälpmedel. Se till att dina alternativa design överväger dessa individer.
Realistiskt sett kan du inte skapa ett perfekt system eftersom alla är unika. Många människor kämpar för att följa flerstegsprocesser, lösa ekvationer, bearbeta komplexa instruktioner eller komma ihåg lösenord. Även om universella principer för webbdesign kan förbättra flexibiliteten, kan ingen enskild lösning tillgodose allas behov. Oavsett vilken autentiseringsteknik du använder bör du ge användarna flera autentiseringsalternativ i förväg. De känner till sina förmågor bäst, så låt dem bestämma vad de ska använda istället för att försöka överkonstruera en lösning som fungerar för varje kantfall. Ta itu med tillgänglighetsproblemet med designändringar En person med handskakningar kanske inte kan slutföra ett glidande pussel, medan någon med ljudbehandlingsstörning kan ha problem med förvrängda ljudprover. Du kan dock inte bara ersätta CAPTCHA med alternativ eftersom de ofta är lika otillgängliga. QR-koder kan till exempel vara svåra att skanna för dem med nedsatt finmotorik. Personer som är synskadade kan ha svårt att hitta den på skärmen. På samma sätt kan biometri utgöra ett problem för personer med ansiktsdeformiteter eller ett begränsat rörelseomfång. Att ta itu med tillgänglighetsproblemet kräver kreativt tänkande. Du kan börja med att besöka Web Accessibility Initiatives handledningar för tillgänglighet för utvecklare för att bättre förstå universell design. Även om dessa handledningar fokuserar mer på innehåll än autentisering, kan du fortfarande använda dem till din fördel. W3C Group Draft Note on the Inaccessibility of CAPTCHA ger mer relevant vägledning. Att komma igång är lika enkelt som att söka efter bästa praxis. Att förstå grunderna är viktigt eftersom det inte finns någon universell lösning för tillgänglig webbdesign. Om du vill optimera tillgängligheten, överväg att skaffa feedback från de personer som faktiskt besöker din webbplats. Ytterligare läsning
"CAPTCHA: Perspectives and Challenges," Darko Brodić och Alessia Amelio "Designa tillgänglig text över bilder: bästa praxis, tekniker och resurser", Hannah Milan "I Search Of The Best CAPTCHA," David Bushell "WCAG 3.0:s föreslagna poängmodell: A Shifti tillgänglighetsutvärdering,” Mikhail Prosmitskiy
