Captcha’s en toegankelijkheid, het probleem is duidelijk: je moet goed kunnen zien om de warrige letters te ontcijferen en het toetsenbord kunnen gebruiken om de code over te typen. De code herhalen in het alt-attribuut van de captcha-afbeelding ondergraaft de hele beveiligingstechniek: de code wordt dan wel beschikbaar voor screenreaders, maar ook voor de spambots.
Audiocaptcha’s zijn een bekend alternatief en twee jaar geleden kwam AnySurfer al met een basic audiocaptcha script. Doofblinden en mensen met een motorische handicap zijn hier echter nog niet mee geholpen.
Ik haalde dit probleem aan tijdens een opleidingssessie bij Usability Design, een postacademische opleiding van het Mediacentrum K.U.Leuven. Een deelnemer suggereerde KittenAuth als mogelijk alternatief.
KittenAuth voldoet aan dezelfde voorwaarde als de klassieke captcha: relatief eenvoudig op te lossen door een computergebruiker, maar niet door een computerscript. In plaats van letters en cijfers over te typen, vraagt KittenAuth alle afbeeldingen van poezen aan te klikken in een serie van dierenafbeeldingen. Hierop zijn uiteraard varianten te bedenken zoals “klik op alle dieren met vier poten” waarbij je afbeeldingen laat zien van poezen, kippen, honden en spinnen. De variant “klik op de zwarte poezen” valt af omwille van de problemen met kleurenblindheid.
KittenAuth lost het probleem op van de moeilijk te ontcijferen letters, het vermijdt het typen waar een aantal mensen met een motorische handicap moeite mee hebben, maar voor blinden is dit alternatief even ontoegankelijk als de klassieke captcha. Dit is een probleem dat de auteur zelf erkend: je zou in de alt-tekst de afbeeldingen moeten beschrijven (poes, hond, kip, …) maar dan maak je het de spambots weer te gemakkelijk.
Hierop verderdenkend, kunnen we voorstellen om een niet-visueel alternatief toe te voegen. Vb. “klik alle harde voorwerpen aan”. Waarbij dan o.a. muur maar niet poes moet worden aangeklikt.
Onderzoek zal moeten uitwijzen of deze techniek niet te gemakkelijk te kraken valt door spambots. Je zal sowieso een hele reeks vragen/antwoorden nodig hebben en dit in meerdere talen. Het beveiligingsmechanisme is maar zo efficiënt als de zwakste schakel.
Een bedenking vanuit technisch toegankelijkheidsoogpunt: de afbeeldingen krijgen een alt-tekst die helemaal niets met de afbeelding te maken heeft! Zal dit niet eerder tot verwarring leiden?
Andere voorgestelde varianten laten gebruikers dubbelklikken of rechtsklikken op de afbeelding (moeilijker te simuleren door scripts), maar hiermee kunnen we vanuit toegankelijkheid niet akkoord gaan omdat dit geen device independent event handlers zijn.
Er zal nog wat denk-, programmeer- en testwerk aan te pas komen om een echt inclusief toegankelijke captcha te verkrijgen.
8 reacties
1 captcha // 29 februari 2008 om 2:00 pm
Leuk artikel. Ik ben ook bezig een stukje te maken over de alternatieven voor de captcha. Ik zat inderdaad al te lezen over plaatjes met objecten. Zeker een interessant onderwerp om over na te denken.
2 Vincent // 29 februari 2008 om 6:21 pm
Ik heb onlangs 2 alternatieven toegepast:
1) je legt de captcha op één of andere manier altijd uit, bvb via een gelijkaardige tekst “Om zeker te zijn dat u geen machine maar een mens bent, …” De vraag kan dan zijn: “Wat is het vijfde woord in vorige zin”
2) Rekensommetjes: “Hoeveel is drie maal zes”
Beide kunnen door een script geïnterpreteerd worden, maar het blijft voorlopig niet evident, want zo’n scripts zijn vandaag nog niet echt verspreid.
Voor commentaar is de ultieme oplossing (om het probleem van spam op te vangen én toegankelijk te blijven) geen captcha, maar een spam filter schrijven, die de URL ingegeven in het commentaar formulier, én de tekst in het commentaar formulier evalueert.
Voor wedstrijden waar je valsspelers dmv een captcha wil tegenhouden ligt dit moeilijker, en kan je met cookies of het checken van IP-adressen werken. Beide systemen hebben hun voor en nadeel.
v
3 Katty // 1 maart 2008 om 9:19 am
Laatst zag ik een leuke captcha waarbij men een simpele rekensom vroeg in de stijl van “wat is de som van drie en negen?”. De uitkomst moest je intikken, en dan kon je een reactie posten.
4 Peter // 3 maart 2008 om 11:09 am
Waarom niet werken met een heel eenvoudige vraag?
Bijvoorbeeld:
Hoeveel is een plus een? (antwoord kan dan ’2′ of ‘twee’ zijn)
Welk geluid maakt een koe? (antwoord ‘boe’)
Eventueel kan men een aantal antwoordmogelijkheiden voorzien in keuzerondjes.
Heeft iemand hier al ervaring mee?
5 Pieter // 6 maart 2008 om 12:29 pm
‘t Is geen volwaardig alternatief voor een captcha, maar een truuk die ik al een paar keer gezien heb en die ook liojkt te werken: een extra veld in je formulier zetten met display:none en e.v. een dummy tekst zoals: ‘don’t fill in this field’. Slaagt de gebruiker er toch in om dit veld in te vullen, dan gaat het zo goed als zeker om een bot.
Deze techniek heeft enkele zwakke punten: het is niet ondenk baar dat niet alle screenreaders (?) een veld met display:none negeren; gemakkelijk te omzeilen door bots op een site per site basis; bezoeker zonder css-support zullen het veld toch zien (vandaar de dummy-tekst).
6 Bart Simons // 6 maart 2008 om 4:55 pm
@Peter, de toepassing met de rekensom heb ik al gezien bij het posten van commentaar in bepaalde blogs. Ik denk dat het een redelijk veilige techniek is, vooral omdat je de opgave op verschillende manieren kan formuleren: “hoeveel is twee plus twee”, “wat is de som van zeven en 8″ enz. Dit is zeker toepasbaar op voorwaarde dat je bezoekers de instructies begrijpen (denk hierbij ook aan websites die zich richten op een anderstalig publiek. De opgaven zullen ook voldoende gevarieerd moeten zijn zodat de uitkomst steeds anders is en liefst iets ruimer dan 2 plus 2.
De optie met radiobuttons bij 1 vraag zoals “welk geluid maakt een koe”: 1/boe, 2/baa, 3/bei lijkt me onvoldoende veilig. Een bot heeft dan 1 kans op 3 om het juiste vakje aan te vinken.
@Pieter, ik weetniet zeker of ik het juist begrijp. Het lijkt me op zich een redelijke techniek totdat een bot doorheeft om welk vakje het gaat en dan kan “hij” ongestoord spammen.
7 Pieter // 10 maart 2008 om 10:53 pm
@Bart Da’s zeker waar. Denk niet dat je dit soort technieken kan gebruiken voor populaire sites, waar spammer de moeite gaan doen om specifiek deze site onder vuur te nemen. ‘k Gebruik het evenwel voor gewone sites en blijkbaar zijn de bots hier wel mee te omzeilen.
8 Edwin Waelbers // 18 september 2010 om 8:44 am
Waarom toch maar vasthouden aan Captcha?
Het houdt spam niet tegen én het is ongebruiksvriendelijk. Spam is het probleem van de beheerder, niet van de gebruiker. Toch pesten we de laatste met een probleem dat niet het zijne is.
Bovendien kost het gebruik van Captcha conversie.
Door gebruik te maken van de honingpot techniek hou je de meeste spambots wel buiten.
Meer info hier over:
Captcha kost je geld
Jouw reactie