CAPTCHA - Ur tillgänglighetsperspektiv

Detta är en sammanfattning kring CAPTCHA från ett tillgänglighetsperspektiv. På sidan så förklaras det vad Captcha är för något, lite om olika sorter som finns samt en rekommendation.

1 Rekommendation
2 Vad är CAPTCHA?
3 reCAPTCHA
4 MTCaptcha
5 Honeypot
6 Multi-factor authentication
7 Läs mer om Captcha

Rekommendation

Rekommendationen när de gäller Captcha är att undvika att använda det så gott de går. Det finns ingen Captcha som är perfekt från ett tillgänglighetsperspektiv, det kan vara onödigt krångliga och frustrerande för användaren eller till och med uteslutande om användaren inte klarar av Captcha-utmaningen. Om Captcha fortfarande är av intresse så bör de starkt övervägas: Vad målet med Captchan är? Vilka är användarna som kommer bemöta den? Vad är det för en tjänst/del som Captchan ska vakta? Vilken typ av Captcha är tänkt att användas? Är den verkligen nödvändig?

Vad är CAPTCHA?

CAPTCHA - ”Completely Automated Public Turing test to tell Computers and Humans Apart”
Detta kan användas i webbaserade formulär vid betalnings- eller registreringsprocesser, för att avgöra om användaren är en människa eller ett datorprogram. Framförallt används CAPTCHA för att förhindra skräppost och annat missbruk av digitala tjänster, som ofta sker med hjälp av botar/program.

En Captcha kan vara en bild som föreställer bokstäver och siffror som är något förvrängda med mönster/streck som överlappar texten för att göra den svårläst för program. Dessa tecken är dock tänkt att en människa ska klara av att läsa och skriva in i ett inmatningsfällt för att komma vidare i processen, men för en person med nedsatt syn så är det inte självklart att de ska klara av att tyda de tecken som de ombeds att skriva in i inmatningsfältet. I vissa all så finns de även möjlighet att få tecknen uppläst, men även uppläsningen kan vara svår att tyda för användaren och där med inte kunna identifiera sig som människa och ta sig förbi denna utmaning. Denna typ av äldre CAPTCHA är inte att rekommendera från ett tillgänglighetsperspektiv, då till och med användare som har god syn och hörsel kan ha problem att lösa dessa.

CAPTCHA’s är svåra att göra tillgängliga för alla, särskilt när de kräver interaktion från användaren. Om en CAPTHA implementeras så är det viktigt att det finns variation för att ta sig förbi den, särskilt för användare som kan ha funktionsnedsättningar som nedsatt syn, hörsel, motorik med mera. Med alternativ så kan användaren välja den typ som bäst passar dom och deras förmåga. Exempelvis om användaren ska skriva in en text som visas på en bild så ska de finnas alternativet att kunna läsa upp texten för användaren, de ska inte finnas någon tidspress och det ska gå att använda enbart tangentbordsnavigering om så önskas.
Om interaktiv CAPTCHA är viktigt för en hemsida på grund av säkerhetsaspekter, så är de också viktigt att minimera och limitera hur ofta en användare måste bemöta en CAPTCHA utmaning. Ju mindre interaktiv en CAPTCHA är desto mer tillgänglig. Om det går att använda icke-interaktiva CAPTCHA lösningar så är det att föredra från ett tillgänglighetsperspektiv.

reCAPTCHA

Med reCAPTCHA från Google så ska användaren klicka i en ruta för att verifiera att den är en människa. Dock kan användarens personliga data användas för att utifrån den kunna avgöra om de är en människa eller robot som klickar i rutan, (webbaktivitet, IP-adress, rörelse, med mera).
reCAPTCHA har stöd för Windows/Linux/Mac datorer, för browsers så finns de stöd för: Chrome, Safari, Internet Explorer, Firefox och Edge. För mobila enheter: Safari och Chrome.
För att ta sig förbi reCAPTCHA så måste användaren klicka i rutan “I'm not a robot”. Får användaren en grön checkmarkering som dyker upp så har användaren verifierat sig som människa, detta kan även läsas upp med skärmläsare. Skärmläsarstöd finns för: ChromeVox (Chrome OS), JAWS (IE/Edge/Chrome Windows), NVDA (IE/Edge/Chrome Windows) och VoiceOver (Safari/Chrome Mac OS).
Google har kommit ut med en nyare version av reCAPTCHA, så kallad ”NoCAPTCHA”, som har tagit bort kryssrutan "I’m not a robot", såvida inte en användare flaggas som "misstänkt" på grund av användarens aktivitet. Om exempelvis någon misslyckas med att ange rätt lösenord för många gånger, så kan rutan ”I’m not a robot” visas, eller så måste användaren genomgå en extra utmaning som: klicka på urval av bilder eller lyssna på en ljudfil och fyll i de ord som sades i ett inmatningsfält.

MTCaptcha

MTCaptcha är en captcha som är enligt dom själva: “GDPR och WCAG-kompatibel, för att hålla integritet och tillgänglighet. Adaptivt osynligt noCaptcha försäkrar friktionsfri verifiering för riktiga människor medan de är hårda mot bots”.
Denna är också uppbyggd på förvrängda bokstäver och kontrastrik bakgrund. Det finns möjlighet att få texten uppläst via ljudfil som kan aktiveras genom att trycka på ikonen för ljud eller genom att stå i fältet där texten ska skrivas in och trycka på (,) komma-teckentangenten. Dessa instruktioner läses även upp via användarens skärmläsare, har själv provat med skärmläsaren NVDA. Kan ibland vara svår att höra bokstaven ”i” när det läses upp, dessutom spelas lite bakgrundsmusik samtidigt som bokstäverna läses upp. Man kan spela om ljudklippet hur mycket man vill och de går även att byta ut bilden hur mycket man vill också.

Nitha använder MTCaptcha

Honeypot

Honeypot är en CAPTCHA som är synlig för robotar men inte för människor. Formuläret skapas för att locka robotar och döljs sedan för användaren genom markering som CSS-Hidden. Det är ett tillvägagångssätt som enkelt kan implementeras. Om en person med skärmläsare och tangentbordsnavigering får fokus på detta fält så ska det vara märkt något i stil med: "Detta fält är endast för robotar. Vänligen lämna tomt”. Det är väldigt viktigt att varningen framkommer till användaren, för skulle det hända att användaren fyller i det dolda fältet som är för att upptäcka botar så kommer användaren anses som en bot och processen misslyckas. Det finns också en risk att spam botar kan klura ut att det är en varningstext som visas för skärmläsare.

Multi-factor authentication

Multifaktorautentisering är när man kompletterar autentiseringen med hjälp av en annan enhet/mobila enheter. Detta är en alternativ lösning för Captcha.
Vissa webbplatser ber användaren mata in sitt mobilnummer (vanligtvis behövs mobilnumret för att bekräfta när användare gör en första registrering) när de betalar pengar eller gör ett köp, då skickar systemet ett textmeddelande med en kod till användarens mobila enhet, användaren matar in den sändande koden till webbplatsen bara bekräftar att han / hon verkligen är användare också en människa. Eller ett annat exempel är att använda bankID. Fördelen är att de flesta människor har en mobilenhet idag och personer med funktionsnedsättningar har inbyggda stöd i sina mobila enheter. Nackdelen är att de kräver att man har en mobilenhet tillgänglig och att de finns internetanslutning.

Läs mer om Captcha

Mer information kring Captcha och tillgänglighet kan ni hitta på följande länkar:

https://captcha.com/accessibility/wcag-captcha.html

https://www.w3.org/WAI/GL/wiki/Captcha_Alternatives_and_thoughts

https://www.w3.org/TR/turingtest/

Läs gärna PWT-plattformens utredning om Captcha: