Bài kiểm tra Turing công cộng hoàn toàn tự động để phân biệt máy tính và con người (CAPTCHA) đã ăn sâu vào trình duyệt internet kể từ khi máy tính cá nhân có được động lực trên thị trường điện tử tiêu dùng. Trong gần như mọi người đã trực tuyến, các nhà phát triển web đã tìm cách chặn các chương trình thư rác. Dịch vụ CAPTCHA phân biệt hoạt động của con người và hoạt động của bot để ngăn chặn bot. Thật không may, phương pháp của nó kém chính xác hơn. Để cố gắng bảo vệ con người, các nhà phát triển đã khiến nhiều người khuyết tật không thể truy cập vào trang web.
Các phương pháp xác thực, chẳng hạn như CAPTCHA, thường sử dụng phân loại hình ảnh, câu đố, mẫu âm thanh hoặc kiểm tra dựa trên nhấp chuột để xác định xem người dùng có phải là con người hay không. Mặc dù các loại thách thức đều được ghi chép đầy đủ nhưng logic của chúng không được công chúng biết đến. Mọi người chỉ có thể đoán những gì cần thiết để “chứng minh” họ là con người.
CAPTCHA là gì? CAPTCHA là một bài kiểm tra Turing ngược có dạng bài kiểm tra phản hồi thử thách. Ví dụ: nếu hướng dẫn người dùng “chọn tất cả hình ảnh có cầu thang”, họ phải chọn cầu thang từ lan can, đường lái xe và lối băng qua đường. Ngoài ra, họ có thể được yêu cầu nhập văn bản họ nhìn thấy, cộng tổng các mặt xúc xắc hoặc hoàn thành một câu đố trượt. CAPTCHA dựa trên hình ảnh là nguyên nhân gây ra những trải nghiệm chia sẻ khó chịu nhất mà người dùng Internet gặp phải — quyết định có nên chọn một hình vuông hay không khi chỉ có một phần nhỏ của đối tượng được đề cập trong đó.
Bất kể phương pháp nào, máy tính hoặc thuật toán cuối cùng sẽ xác định người làm bài kiểm tra là con người hay máy móc. Dịch vụ xác thực này đã tạo ra nhiều nhánh, bao gồm reCAPTCHA và hCAPTCHA. Nó thậm chí còn dẫn đến việc thành lập toàn bộ các công ty, chẳng hạn như GeeTest và Arkose Labs. Hệ thống tự động reCAPTCHA do Google sở hữu yêu cầu người dùng nhấp vào hộp kiểm có nhãn “Tôi không phải là robot” để xác thực. Nó chạy một phân tích thích ứng ở chế độ nền để ấn định điểm rủi ro. hCAPTCHA là giải pháp thay thế dựa trên phân loại hình ảnh. Các phương thức xác thực khác bao gồm xác thực đa yếu tố (MFA), mã QR, số nhận dạng cá nhân tạm thời (PIN) và sinh trắc học. Chúng không tuân theo công thức phản ứng-thách thức nhưng phục vụ các mục đích cơ bản giống nhau. Những nhánh này nhằm mục đích tốt hơn bản gốc nhưng chúng thường không đáp ứng được các tiêu chuẩn về khả năng tiếp cận hiện đại. Lấy hCaptcha làm ví dụ, sử dụng cookie để cho phép bạn vượt qua hoàn toàn bài kiểm tra phản hồi thử thách. Đó là một ý tưởng tuyệt vời về mặt lý thuyết, nhưng nó không hiệu quả trong thực tế. Bạn phải nhận mã một lần qua email mà bạn gửi đến một số cụ thể qua SMS. Người dùng báo cáo nhận được vô số thông báo lỗi, buộc họ phải hoàn thành CAPTCHA văn bản tiêu chuẩn. Điều này chỉ khả dụng nếu trang web kích hoạt nó một cách rõ ràng trong quá trình cấu hình. Nếu tính năng này chưa được thiết lập, bạn phải hoàn thành thử thách hình ảnh không nhận dạng được trình đọc màn hình. Ngay cả khi quy trình ban đầu hoạt động, quá trình xác thực tiếp theo vẫn dựa vào cookie trên nhiều trang của bên thứ ba mà hầu hết các trình duyệt đều tự động chặn. Ngoài ra, mã sẽ hết hạn sau một thời gian ngắn, vì vậy bạn phải thực hiện lại toàn bộ quy trình nếu mất quá nhiều thời gian để chuyển sang bước tiếp theo. Tại sao các nhóm sử dụng CAPTCHA và các phương thức xác thực tương tự? CAPTCHA rất phổ biến vì nó dễ cài đặt. Các nhà phát triển có thể lập trình để nó xuất hiện và nó sẽ tự động tiến hành thử nghiệm. Bằng cách này, họ có thể tập trung vào những vấn đề quan trọng hơn trong khi vẫn ngăn chặn thư rác, gian lận và lạm dụng. Những công cụ này được cho là giúp con người sử dụng Internet một cách an toàn dễ dàng hơn, nhưng chúng thường ngăn cản người thật đăng nhập. Nhìn chung, những thử nghiệm này dẫn đến trải nghiệm người dùng kém. Một nghiên cứu cho thấy người dùng đã lãng phí hơn 819 triệu giờ cho hơn 512 tỷ phiên reCAPTCHA v2 tính đến năm 2023. Bất chấp tất cả, bot vẫn chiếm ưu thế. Các mô hình học máy có thể giải CAPTCHA dựa trên văn bản trong vòng một phần giây với độ chính xác hơn 97%. Một nghiên cứu năm 2024 về reCAPTCHA v2 của Google — vẫn được sử dụng rộng rãi mặc dù reCAPTCHA v3 đã được triển khai — cho thấy các bot có thể giải quyết CAPTCHA phân loại hình ảnh với độ chính xác lên tới 100%, tùy thuộc vào đối tượng mà chúng được giao nhiệm vụ xác định. Các nhà nghiên cứu đã sử dụng mô hình nguồn mở, miễn phí, điều đó có nghĩa là những kẻ xấu có thể dễ dàng sao chép tác phẩm của chúng. Tại sao các nhà phát triển web nên ngừng sử dụng CAPTCHA? Các phương thức xác thực như CAPTCHA có vấn đề về khả năng truy cập. Những tiến bộ về học máy đã buộc các dịch vụ này ngày càng trở nên phức tạp. Thậm chí, họ vẫn không thể đánh lừa được. Bot nhận đượcnó đúng hơn mọi người làm. Nghiên cứu cho thấy họ có thể hoàn thành reCAPTCHA trong vòng 17,5 giây, đạt độ chính xác 85%. Con người mất nhiều thời gian hơn và kém chính xác hơn. Nhiều người thất bại trong các bài kiểm tra CAPTCHA và không biết mình đã làm gì sai. Ví dụ: lời nhắc hướng dẫn người dùng “chọn tất cả các ô vuông có đèn giao thông” có vẻ đơn giản nhưng sẽ trở nên phức tạp nếu một mảnh cột nằm trong một ô vuông khác. Họ có nên chọn ô đó không, hay đó là điều mà thuật toán sẽ làm? Mặc dù khả năng của bot đã phát triển vượt bậc nhưng con người vẫn không thay đổi. Khi các bài kiểm tra ngày càng khó hơn, họ cảm thấy ít muốn thử hơn. Một cuộc khảo sát cho thấy gần 59% người dân sẽ ngừng sử dụng sản phẩm sau một vài trải nghiệm tồi tệ. Nếu việc xác thực quá rườm rà hoặc phức tạp, họ có thể ngừng sử dụng trang web hoàn toàn. Mọi người có thể trượt các bài kiểm tra này vì nhiều lý do, bao gồm cả lý do kỹ thuật. Nếu họ chặn cookie của bên thứ ba, chạy proxy cục bộ hoặc chưa cập nhật trình duyệt của mình trong một thời gian, họ có thể tiếp tục bị lỗi, bất kể họ đã thử bao nhiêu lần. Vấn đề xác thực với CAPTCHA Vì những lý do nêu trên, hầu hết các loại CAPTCHA vốn không thể truy cập được. Điều này đặc biệt đúng đối với người khuyết tật, vì những bài kiểm tra đáp ứng thử thách này không được thiết kế phù hợp với nhu cầu của họ. Một số vấn đề phổ biến bao gồm: Các vấn đề liên quan đến hình ảnh và việc sử dụng trình đọc màn hình Trình đọc màn hình không thể đọc CAPTCHA trực quan tiêu chuẩn, chẳng hạn như kiểm tra văn bản bị biến dạng, vì các từ lộn xộn, méo mó không thể đọc được bằng máy. Tương tự, phương pháp phân loại hình ảnh và câu đố trượt cũng không thể truy cập được. Trong một cuộc khảo sát WebAIM được thực hiện từ năm 2023 đến năm 2024, người dùng trình đọc màn hình đã đồng ý rằng CAPTCHA là mục có vấn đề nhất, xếp hạng nó trên các liên kết mơ hồ, thay đổi màn hình không mong muốn, thiếu văn bản thay thế, tìm kiếm không thể truy cập và thiếu khả năng truy cập bàn phím. Vị trí hàng đầu của nó hầu như không thay đổi trong hơn một thập kỷ, minh họa cho lịch sử không thể tiếp cận của nó. Các vấn đề liên quan đến thính giác và xử lý âm thanh CAPTCHA âm thanh tương đối phổ biến vì các phương pháp hay nhất về phát triển web khuyên bạn không nên tự động phát âm thanh và nhấn mạnh tầm quan trọng của việc kiểm soát người dùng. Tuy nhiên, CAPTCHA âm thanh vẫn tồn tại. Những người khiếm thính hoặc điếc có thể gặp rào cản khi thực hiện các bài kiểm tra này. Ngay cả với công nghệ hỗ trợ, sự biến dạng âm thanh có chủ ý và tiếng ồn xung quanh khiến những người mắc chứng rối loạn xử lý thính giác khó hiểu được những mẫu này. Các vấn đề liên quan đến vận động và sự khéo léo Các bài kiểm tra đòi hỏi kỹ năng vận động và khéo léo có thể là thách thức đối với những người bị suy giảm khả năng vận động hoặc khuyết tật về thể chất. Ví dụ, một người bị run tay có thể thấy trò chơi trượt câu đố khó. Ngoài ra, các bài kiểm tra phân loại hình ảnh tải nhiều hình ảnh hơn cho đến khi không còn hình ảnh nào phù hợp với tiêu chí có thể đặt ra một thách thức. Những vấn đề liên quan đến nhận thức và ngôn ngữ Khi CAPTCHA ngày càng trở nên phức tạp, một số nhà phát triển đang chuyển sang các thử nghiệm đòi hỏi sự kết hợp giữa tư duy sáng tạo và tư duy phản biện. Những ứng dụng yêu cầu người dùng giải một bài toán hoặc hoàn thành một câu đố có thể là thách thức đối với những người mắc chứng khó đọc, chứng khó tính toán, rối loạn xử lý thị giác hoặc suy giảm nhận thức. Tại sao công nghệ hỗ trợ sẽ không thu hẹp khoảng cách CAPTCHA được thiết kế có chủ đích để con người diễn giải và giải quyết, vì vậy công nghệ hỗ trợ như trình đọc màn hình và điều khiển rảnh tay có thể không giúp ích được nhiều. Đặc biệt, ReCAPTCHA đặt ra vấn đề vì nó phân tích hoạt động nền. Nếu nó gắn cờ các thiết bị trợ năng là bot, nó sẽ cung cấp CAPTCHA có khả năng không thể truy cập được. Ngay cả khi công nghệ này có thể thu hẹp khoảng cách, các nhà phát triển web cũng không nên mong đợi điều đó. Các tiêu chuẩn ngành quy định rằng họ phải tuân theo các nguyên tắc thiết kế phổ quát để làm cho trang web của họ dễ truy cập và hoạt động tốt nhất có thể. Các vấn đề về khả năng truy cập của CAPTCHA có thể được tha thứ nếu nó là một công cụ bảo mật hiệu quả, nhưng nó không thể hoàn hảo vì bot làm đúng hơn con người. Tại sao cứ sử dụng phương pháp không hiệu quả, tạo rào cản cho người khuyết tật? Có những lựa chọn thay thế tốt hơn. Nguyên tắc xác thực có thể truy cập Ý tưởng cho rằng con người phải luôn làm tốt hơn các thuật toán đã lỗi thời. Hiện có các phương pháp xác thực tốt hơn, chẳng hạn như xác thực đa yếu tố (MFA). Thị trường xác thực hai yếu tố sẽ có giá trị ước tính khoảng 26,7 tỷ USD vào năm 2027, nhấn mạnh mức độ phổ biến của nó. Công cụ nàyhiệu quả hơn CAPTCHA vì nó ngăn chặn truy cập trái phép, ngay cả với thông tin xác thực hợp pháp.
Đảm bảo kỹ thuật MFA của bạn có thể truy cập được. Thay vì yêu cầu khách truy cập trang web phiên âm các mã phức tạp, bạn nên gửi thông báo đẩy hoặc tin nhắn SMS. Dựa vào tính năng tự động điền mã xác minh để tự động chụp và nhập mã. Ngoài ra, bạn có thể giới thiệu tính năng “ghi nhớ thiết bị này” để bỏ qua xác thực trên các thiết bị đáng tin cậy. Phương pháp xác thực hai yếu tố của Apple được thiết kế theo cách này. Một thiết bị đáng tin cậy sẽ tự động hiển thị mã xác minh gồm sáu chữ số để họ không phải tìm kiếm mã đó. Khi được nhắc, người dùng iPhone có thể nhấn vào đề xuất xuất hiện phía trên bàn phím di động của họ để tự động điền.
Đăng nhập một lần là một lựa chọn khác. Dịch vụ xác thực người dùng và phiên này cho phép mọi người đăng nhập vào nhiều trang web hoặc ứng dụng bằng một bộ thông tin đăng nhập duy nhất, giảm thiểu nhu cầu xác minh danh tính nhiều lần. “Liên kết ma thuật” sử dụng một lần là giải pháp thay thế tuyệt vời cho reCAPTCHA và mã PIN tạm thời. Thay vì nhớ mã hoặc giải câu đố, người dùng nhấp vào nút. Tránh áp đặt thời hạn vì theo Tiêu chí Thành công 2.2.3 của WCAG, người dùng không nên gặp phải giới hạn thời gian vì người khuyết tật có thể cần nhiều thời gian hơn để hoàn thành các hành động cụ thể. Ngoài ra, bạn có thể sử dụng Cloudflare Turnstile. Nó xác thực mà không hiển thị CAPTCHA và hầu hết mọi người thậm chí không bao giờ phải đánh dấu vào ô hoặc nhấn nút. Phần mềm hoạt động bằng cách đưa ra một thử thách JavaScript nhỏ ở hậu trường để tự động phân biệt giữa bot và con người. Cloudflare Turnstile có thể được nhúng vào bất kỳ trang web nào, khiến nó trở thành một giải pháp thay thế tuyệt vời cho các nhiệm vụ phân loại tiêu chuẩn. Kiểm tra và đánh giá các thiết kế xác thực có thể truy cập Việc kiểm tra và đánh giá các phương pháp xác thực thay thế có thể truy cập của bạn là điều cần thiết. Nhiều thiết kế trông đẹp trên giấy nhưng lại không hiệu quả trong thực tế. Nếu có thể, hãy thu thập phản hồi từ người dùng thực tế. Phiên bản beta mở có thể là một cách hiệu quả để tối đa hóa khả năng hiển thị. Hãy nhớ rằng, những cân nhắc chung về khả năng tiếp cận không chỉ áp dụng cho người khuyết tật. Họ cũng bao gồm những người bị dị tật thần kinh, không thể tiếp cận thiết bị di động hoặc sử dụng công nghệ hỗ trợ. Đảm bảo các thiết kế thay thế của bạn có tính đến những cá nhân này.
Trên thực tế, bạn không thể tạo ra một hệ thống hoàn hảo vì mỗi người đều là duy nhất. Nhiều người gặp khó khăn khi thực hiện theo các quy trình nhiều bước, giải phương trình, xử lý các hướng dẫn phức tạp hoặc ghi nhớ mật mã. Mặc dù các nguyên tắc thiết kế web phổ quát có thể cải thiện tính linh hoạt nhưng không có giải pháp đơn lẻ nào có thể đáp ứng được nhu cầu của mọi người. Bất kể bạn sử dụng kỹ thuật xác thực nào, bạn nên cung cấp trước cho người dùng nhiều tùy chọn xác thực. Họ biết rõ nhất khả năng của mình, vì vậy hãy để họ quyết định nên sử dụng cái gì thay vì cố gắng thiết kế kỹ lưỡng một giải pháp phù hợp với mọi trường hợp biên. Giải quyết vấn đề về khả năng tiếp cận bằng những thay đổi về thiết kế Một người bị run tay có thể không thể hoàn thành câu đố trượt, trong khi người mắc chứng rối loạn xử lý âm thanh có thể gặp rắc rối với các mẫu âm thanh bị méo. Tuy nhiên, bạn không thể đơn giản thay thế CAPTCHA bằng các giải pháp thay thế vì chúng thường không thể truy cập được. Ví dụ: mã QR có thể khó quét đối với những người có khả năng kiểm soát vận động tinh kém. Những người khiếm thị có thể gặp khó khăn khi tìm thấy nó trên màn hình. Tương tự, sinh trắc học có thể gây ra vấn đề cho những người bị biến dạng khuôn mặt hoặc phạm vi chuyển động hạn chế. Giải quyết vấn đề về khả năng tiếp cận đòi hỏi tư duy sáng tạo. Bạn có thể bắt đầu bằng cách truy cập các hướng dẫn về khả năng truy cập của Sáng kiến Truy cập Web dành cho nhà phát triển để hiểu rõ hơn về thiết kế phổ quát. Mặc dù những hướng dẫn này tập trung nhiều vào nội dung hơn là xác thực nhưng bạn vẫn có thể sử dụng chúng để làm lợi thế cho mình. Ghi chú Dự thảo của Nhóm W3C về Khả năng không thể truy cập của CAPTCHA cung cấp hướng dẫn phù hợp hơn. Bắt đầu dễ dàng như nghiên cứu các phương pháp hay nhất. Hiểu những điều cơ bản là điều cần thiết vì không có giải pháp chung nào cho thiết kế web dễ tiếp cận. Nếu bạn muốn tối ưu hóa khả năng truy cập, hãy xem xét tìm nguồn phản hồi từ những người thực sự truy cập trang web của bạn. Đọc thêm
“CAPTCHA: Quan điểm và thách thức,” Darko Brodić và Alessia Amelio “Thiết kế văn bản có thể truy cập trên hình ảnh: Các phương pháp, kỹ thuật và tài nguyên tốt nhất,” Hannah Milan “Tìm kiếm CAPTCHA tốt nhất,” David Bushell “Mô hình tính điểm đề xuất của WCAG 3.0: Một sự thay đổitrong Đánh giá khả năng tiếp cận,” Mikhail Prosmitskiy
