Bilgisayarları ve İnsanları Ayrı Ayrı Anlatmak için Tamamen Otomatik Herkese Açık Turing testi (CAPTCHA), kişisel bilgisayarların tüketici elektroniği pazarında ivme kazanmasından bu yana internet taramasında kökleşmiş hale geldi. Neredeyse insanlar çevrimiçi olduğu sürece, web geliştiricileri spam botlarını engellemenin yollarını aradılar. CAPTCHA hizmeti, botları dışarıda tutmak için insan ve bot etkinlikleri arasında ayrım yapar. Ne yazık ki yöntemleri pek kesin değil. İnsanları korumaya çalışan geliştiriciler, web'in çoğunu engelli kişiler için erişilemez hale getirdi.
CAPTCHA gibi kimlik doğrulama yöntemleri, kullanıcının insan olup olmadığını belirlemek için genellikle görüntü sınıflandırması, bulmacalar, ses örnekleri veya tıklamaya dayalı testler kullanır. Zorluk türleri iyi belgelenmiş olsa da, bunların mantığı kamuya açık değildir. İnsanlar, insan olduklarını “kanıtlamak” için ne gerektiğini yalnızca tahmin edebilirler.
CAPTCHA Nedir? CAPTCHA, meydan okuma-cevap testi şeklini alan ters bir Turing testidir. Örneğin, kullanıcılara "merdivenli tüm görselleri seçmeleri" talimatını veriyorsa merdivenleri korkuluklardan, araba yollarından ve yaya geçitlerinden seçmeleri gerekir. Alternatif olarak, gördükleri metni girmeleri, zar yüzlerinin toplamını eklemeleri veya kayan bir bulmacayı tamamlamaları istenebilir. Görüntü tabanlı CAPTCHA'lar, internet kullanıcılarının yaşadığı en sinir bozucu paylaşılan deneyimlerden sorumludur; söz konusu nesnenin yalnızca küçük bir parçasının bulunduğu bir kareyi seçip seçmemeye karar vermek.
Yöntem ne olursa olsun, bir bilgisayar veya algoritma sonuçta sınava giren kişinin insan mı yoksa makine mi olduğunu belirler. Bu kimlik doğrulama hizmeti, reCAPTCHA ve hCAPTCHA dahil olmak üzere birçok yan ürün ortaya çıkardı. Hatta GeeTest ve Arkose Labs gibi şirketlerin kurulmasına bile yol açtı. Google'ın sahip olduğu otomatik sistem reCAPTCHA, kullanıcıların kimlik doğrulama için "Ben robot değilim" etiketli bir onay kutusunu tıklamasını gerektirir. Bir risk puanı atamak için arka planda uyarlanabilir bir analiz çalıştırır. hCAPTCHA, görüntü sınıflandırmasına dayalı bir alternatiftir. Diğer kimlik doğrulama yöntemleri arasında çok faktörlü kimlik doğrulama (MFA), QR kodları, geçici kişisel kimlik numaraları (PIN'ler) ve biyometri bulunur. Meydan okuma-cevap formülünü takip etmezler ancak temelde benzer amaçlara hizmet ederler. Bu yeni ürünlerin orijinalinden daha iyi olması amaçlanıyor ancak çoğu zaman modern erişilebilirlik standartlarını karşılayamıyorlar. Örneğin, meydan okuma-yanıt testini tamamen atlamanıza olanak tanıyan bir çerez kullanan hCaptcha'yı ele alalım. Teoride harika bir fikir ama pratikte işe yaramıyor. SMS yoluyla belirli bir numaraya gönderdiğiniz e-posta yoluyla tek seferlik bir kod almanız gerekir. Kullanıcılar, standart CAPTCHA metnini tamamlamaya zorlanan sonsuz hata mesajları aldıklarını bildiriyor. Bu yalnızca sitenin yapılandırma sırasında bunu açıkça etkinleştirmesi durumunda kullanılabilir. Ayarlanmamışsa ekran okuyucuları tanımayan bir resim sorgulamasını tamamlamanız gerekir. İlk süreç işe yarasa bile sonraki kimlik doğrulama, çoğu tarayıcının otomatik olarak engellediği üçüncü taraf siteler arası çerezlere dayanır. Ayrıca kodun süresi kısa bir süre sonra dolar, dolayısıyla bir sonraki adıma geçmeniz çok uzun sürerse tüm süreci yeniden yapmanız gerekir. Ekipler Neden CAPTCHA ve Benzeri Kimlik Doğrulama Yöntemlerini Kullanıyor? CAPTCHA yaygındır çünkü kurulumu kolaydır. Geliştiriciler onu görünecek şekilde programlayabilir ve testi otomatik olarak yürütür. Bu şekilde spam, sahtekarlık ve kötüye kullanımı önlerken daha önemli konulara odaklanabilirler. Bu araçların insanların interneti güvenli bir şekilde kullanmasını kolaylaştırması gerekiyor ancak çoğu zaman gerçek insanların giriş yapmasını engelliyorlar. Bu testler genel olarak kötü bir kullanıcı deneyimine neden olur. Bir çalışma, kullanıcıların 2023 itibarıyla 512 milyardan fazla reCAPTCHA v2 oturumunda 819 milyon saatin üzerinde zaman harcadığını ortaya çıkardı. Her şeye rağmen, botlar galip geliyor. Makine öğrenimi modelleri, metin tabanlı CAPTCHA'yı saniyenin kesirleri içinde %97'nin üzerinde doğrulukla çözebilir. Google'ın reCAPTCHA v3'ün kullanıma sunulmasına rağmen hala yaygın olarak kullanılan reCAPTCHA v2 üzerine 2024 yılında yapılan bir araştırma, botların tanımlamakla görevlendirildikleri nesneye bağlı olarak CAPTCHA resim sınıflandırmasını %100'e kadar doğrulukla çözebildiğini ortaya çıkardı. Araştırmacılar ücretsiz, açık kaynaklı bir model kullandı; bu, kötü aktörlerin çalışmalarını kolayca kopyalayabileceği anlamına geliyor. Web Geliştiricileri Neden CAPTCHA Kullanmayı Durdurmalı? CAPTCHA gibi kimlik doğrulama yöntemlerinde erişilebilirlik sorunu vardır. Makine öğrenimindeki ilerlemeler bu hizmetlerin giderek daha karmaşık hale gelmesine neden oldu. Yine de kusursuz değiller. Botlar alırinsanların yaptığından daha doğru. Araştırmalar, reCAPTCHA'yı 17,5 saniyede tamamlayarak %85 doğruluk oranına ulaşabildiklerini gösteriyor. İnsanlar daha uzun sürer ve daha az doğrudur. Birçok kişi CAPTCHA testlerinde başarısız oluyor ve neyi yanlış yaptıklarına dair hiçbir fikri yok. Örneğin, kullanıcılara "trafik ışıklı tüm kareleri seçmeleri" talimatını veren bir komut yeterince basit görünüyor, ancak direğin bir parçası başka bir karedeyse durum karmaşıklaşıyor. Bu kutuyu seçmeliler mi, yoksa bir algoritmanın yapacağı şey bu mu? Her ne kadar botların yetenekleri büyük oranda artmış olsa da insanlar aynı kaldı. Testler giderek zorlaştıkça, onları denemeye daha az eğilimli olurlar. Bir anket, insanların yaklaşık %59'unun birkaç kötü deneyimden sonra bir ürünü kullanmayı bırakacağını gösteriyor. Kimlik doğrulama çok hantal veya karmaşıksa web sitesini kullanmayı tamamen bırakabilirler. İnsanlar bu testlerde teknik nedenler de dahil olmak üzere çeşitli nedenlerden dolayı başarısız olabilirler. Üçüncü taraf çerezlerini engellerlerse, yerel bir proxy çalışıyorsa veya tarayıcılarını bir süredir güncellememişlerse, kaç kez denediklerine bakılmaksızın başarısız olmaya devam edebilirler. CAPTCHA ile İlgili Kimlik Doğrulama Sorunları Yukarıda belirtilen nedenlerden dolayı çoğu CAPTCHA türüne doğası gereği erişilemez. Bu meydan okuma-cevap testleri onların ihtiyaçları göz önünde bulundurularak tasarlanmadığından, bu durum özellikle engelli kişiler için geçerlidir. Yaygın sorunlardan bazıları şunlardır: Görseller ve Ekran Okuyucu Kullanımıyla İlgili Sorunlar Ekran okuyucular, bozuk metin testi gibi standart görsel CAPTCHA'ları okuyamaz çünkü karışık, çarpık sözcükler makine tarafından okunamaz. Görüntü sınıflandırma ve kayan bulmaca yöntemlerine de benzer şekilde erişilemez. 2023'ten 2024'e kadar gerçekleştirilen bir WebAIM anketinde ekran okuyucu kullanıcıları, CAPTCHA'nın en sorunlu öğe olduğunu kabul etti ve onu belirsiz bağlantıların, beklenmeyen ekran değişikliklerinin, eksik alternatif metnin, erişilemeyen aramanın ve klavye erişilebilirliği eksikliğinin üzerinde sıraladı. Zirvedeki konumu on yılı aşkın bir süredir büyük ölçüde değişmeden kaldı ve bu da onun erişilemezlik geçmişini gösteriyor. İşitme ve Ses İşlemeyle İlgili Sorunlar Ses CAPTCHA'ları nispeten nadirdir çünkü web geliştirmedeki en iyi uygulamalar sesin otomatik oynatılmasına karşı tavsiyede bulunur ve kullanıcı kontrollerinin önemini vurgular. Ancak ses CAPTCHA'ları hâlâ mevcuttur. İşitme güçlüğü çeken veya sağır kişiler bu testleri yapmaya çalışırken bir engelle karşılaşabilirler. Yardımcı teknolojiyle bile, kasıtlı ses bozulması ve arka plan gürültüsü, bu örnekleri işitsel işleme bozukluğu olan kişiler için kavramayı zorlaştırıyor. Motor ve El Becerisine İlişkin Sorunlar Motor ve el becerisi gerektiren testler, motor bozuklukları veya fiziksel engeli olanlar için zorlayıcı olabilir. Örneğin el titremesi olan bir kişi kayan bulmacaları çözmekte zorlanabilir. Ayrıca, kriterlere uyan hiçbir görüntü kalmayıncaya kadar daha fazla görüntü yükleyen görüntü sınıflandırma testleri de zorlayıcı olabilir. Biliş ve Dil ile İlgili Sorunlar CAPTCHA'lar giderek daha karmaşık hale geldikçe, bazı geliştiriciler yaratıcı ve eleştirel düşünmenin birleşimini gerektiren testlere yöneliyor. Kullanıcıların bir matematik problemini çözmesini veya bir bulmacayı tamamlamasını gerektiren görevler, disleksi, diskalkuli, görsel işlem bozuklukları veya bilişsel bozuklukları olan kişiler için zorlayıcı olabilir. Yardımcı Teknoloji Neden Boşluğu Kapatamıyor? CAPTCHA'lar özellikle insanların yorumlaması ve çözmesi için tasarlanmıştır; bu nedenle ekran okuyucular ve eller serbest kontroller gibi yardımcı teknolojilerin pek faydası olmayabilir. ReCAPTCHA özellikle arka plan etkinliğini analiz ettiğinden bir sorun teşkil etmektedir. Erişilebilirlik cihazlarını bot olarak işaretlerse, potansiyel olarak erişilemez bir CAPTCHA sunacaktır. Bu teknoloji aradaki boşluğu kapatabilecek olsa bile web geliştiricilerinin bunu beklememesi gerekiyor. Endüstri standartları, web sitelerini mümkün olduğunca erişilebilir ve işlevsel hale getirmek için evrensel tasarım ilkelerini takip etmeleri gerektiğini zorunlu kılmaktadır. CAPTCHA'nın erişilebilirlik sorunları, etkili bir güvenlik aracı olsaydı affedilebilirdi, ancak botlar bunu insanlardan daha iyi yaptığı için kusursuz olmaktan çok uzaktır. Etkisiz ve engelli insanlar için engel oluşturan bir yöntemi neden kullanmaya devam edesiniz? Daha iyi alternatifler var. Erişilebilir Kimlik Doğrulama İlkeleri İnsanların sürekli olarak algoritmalardan daha iyi performans göstermesi gerektiği fikri artık geçerliliğini yitirmiştir. Çok faktörlü kimlik doğrulama (MFA) gibi daha iyi kimlik doğrulama yöntemleri mevcuttur. İki faktörlü kimlik doğrulama pazarının 2027 yılına kadar tahmini 26,7 milyar dolar değerinde olması, popülaritesinin altını çiziyor. Bu araçCAPTCHA'dan daha etkilidir çünkü meşru kimlik bilgileriyle bile yetkisiz erişimi önler.
MFA tekniğinizin erişilebilir olduğundan emin olun. Web sitesi ziyaretçilerinin karmaşık kodları yazmasını sağlamak yerine, anlık bildirimler veya SMS mesajları göndermelisiniz. Kodu otomatik olarak yakalayıp girmek için doğrulama kodunun otomatik doldurulmasına güvenin. Alternatif olarak, güvenilir cihazlarda kimlik doğrulamayı atlamak için "bu cihazı hatırla" özelliğini kullanabilirsiniz. Apple'ın iki faktörlü kimlik doğrulama yaklaşımı bu şekilde tasarlanmıştır. Güvenilir bir cihaz otomatik olarak altı haneli bir doğrulama kodunu görüntüler, böylece aramalarına gerek kalmaz. İstendiğinde, iPhone kullanıcıları otomatik doldurma için mobil klavyelerinin üzerinde görünen öneriye dokunabilirler.
Tek oturum açma başka bir seçenektir. Bu oturum ve kullanıcı kimlik doğrulama hizmeti, kişilerin tek bir oturum açma kimlik bilgileri seti ile birden fazla web sitesinde veya uygulamada oturum açmasına olanak tanıyarak tekrarlanan kimlik doğrulama ihtiyacını en aza indirir. Tek kullanımlık "sihirli bağlantılar", reCAPTCHA'ya ve geçici PIN'lere mükemmel bir alternatiftir. Kullanıcı, bir kodu hatırlamak veya bir bulmacayı çözmek yerine bir düğmeye tıklar. Son tarihler koymaktan kaçının çünkü WCAG Başarı Kriteri 2.2.3'e göre, engelli kişilerin belirli eylemleri tamamlamak için daha fazla zamana ihtiyacı olabileceğinden kullanıcıların zaman sınırlamalarıyla karşı karşıya kalmaması gerekir. Alternatif olarak Cloudflare Turnikesini kullanabilirsiniz. CAPTCHA göstermeden kimlik doğrulaması yapar ve çoğu insanın hiçbir zaman bir kutuyu işaretlemesine veya bir düğmeye basmasına bile gerek kalmaz. Yazılım, botlar ve insanlar arasında otomatik olarak ayrım yapmak için perde arkasında küçük bir JavaScript sorgulaması yayınlayarak çalışır. Cloudflare Turnikesi herhangi bir web sitesine yerleştirilebilir, bu da onu standart sınıflandırma görevlerine mükemmel bir alternatif haline getirir. Erişilebilir Kimlik Doğrulama Tasarımlarının Test Edilmesi ve Değerlendirilmesi Erişilebilir alternatif kimlik doğrulama yöntemlerinizi test etmek ve değerlendirmek önemlidir. Pek çok tasarım kağıt üzerinde güzel görünse de pratikte işe yaramıyor. Mümkünse gerçek kullanıcılardan geri bildirim toplayın. Açık beta, görünürlüğü en üst düzeye çıkarmanın etkili bir yolu olabilir. Genel erişilebilirlik hususlarının yalnızca engelli kişiler için geçerli olmadığını unutmayın. Bunlar aynı zamanda nörodiverjansı olan, mobil cihaza erişimi olmayan veya yardımcı teknoloji kullanan kişileri de içerir. Alternatif tasarımlarınızın bu kişileri dikkate aldığından emin olun.
Gerçekçi olmak gerekirse, herkes benzersiz olduğundan mükemmel bir sistem yaratamazsınız. Birçok kişi çok adımlı süreçleri takip etmekte, denklemleri çözmekte, karmaşık talimatları işlemekte veya şifreleri hatırlamakta zorluk çekmektedir. Evrensel web tasarım ilkeleri esnekliği geliştirebilirken, tek bir çözüm herkesin ihtiyaçlarını karşılayamaz. Kullandığınız kimlik doğrulama tekniği ne olursa olsun, kullanıcılara önceden birden fazla kimlik doğrulama seçeneği sunmalısınız. Yeteneklerini en iyi onlar biliyor; bu nedenle, her uç durum için işe yarayan bir çözüm üzerinde aşırı mühendislik yapmaya çalışmak yerine, ne kullanacaklarına karar vermelerine izin verin. Erişilebilirlik Sorununu Tasarım Değişiklikleriyle Çözün El titremesi olan bir kişi kayan bir bulmacayı tamamlayamayabilir, ses işleme bozukluğu olan bir kişi ise bozuk ses örneklerinde sorun yaşayabilir. Ancak CAPTCHA'ları alternatiflerle değiştiremezsiniz çünkü bunlara genellikle eşit derecede erişilemezdir. Örneğin ince motor kontrolü zayıf olanlar için QR kodlarını taramak zor olabilir. Görme engelli kişiler bunu ekranda bulmakta zorlanabilirler. Benzer şekilde biyometri, yüz deformasyonu olan veya hareket kabiliyeti kısıtlı kişiler için de sorun teşkil edebilir. Erişilebilirlik sorununu çözmek yaratıcı düşünmeyi gerektirir. Geliştiricilerin evrensel tasarımı daha iyi anlaması için Web Erişilebilirlik Girişiminin erişilebilirlik eğitimlerini ziyaret ederek başlayabilirsiniz. Bu eğitimler kimlik doğrulamadan çok içeriğe odaklansa da bunları yine de kendi avantajınıza kullanabilirsiniz. CAPTCHA'nın Erişilemezliğine İlişkin W3C Grubu Taslak Notu daha konuyla ilgili rehberlik sağlar. Başlamak en iyi uygulamaları araştırmak kadar kolaydır. Erişilebilir web tasarımı için evrensel bir çözüm olmadığından temelleri anlamak önemlidir. Erişilebilirliği optimize etmek istiyorsanız web sitenizi gerçekten ziyaret eden kişilerden geri bildirim almayı düşünün. İleri Okuma
“CAPTCHA: Perspektifler ve Zorluklar,” Darko Brodić ve Alessia Amelio “Resim Üzerinden Erişilebilir Metin Tasarlamak: En İyi Uygulamalar, Teknikler ve Kaynaklar,” Hannah Milan “En İyi CAPTCHA'nın Arayışında,” David Bushell “WCAG 3.0'ın Önerilen Puanlama Modeli: Bir DeğişimErişilebilirlik Değerlendirmesinde,” Mikhail Prosmitskiy
