Captcha is dood, eindelijk.
Geplaatst door: Bart23 dec
![broken-captchas[1]](http://www.bartschouten.net/wp-content/uploads/2009/12/broken-captchas1.gif "captcha is dood")
Vroeger, toen alles nog beter was, kon je als web ontwikkelaar nog gerust een formulier online zetten zonder ze zorgen te maken over het misbruik daarvan. Tegenwoordig moet je je op z’n minst zorgen maken om het tegenhouden van spam via formulieren. Wanneer het echter gaat om het inschrijven op of aanmelden voor een online dienst dan wordt het pas echt van belang om misbruik te voorkomen.
Sinds een aantal jaren worden (aanmeld) formulieren ‘beveiligd’ met codes die de gebruiker moet overtikken. Zogenaamde Captcha codes. Vanuit usability perspectief is dit een regelrechte ramp. Die codes zijn slecht leesbaar zodat geautomatiseerde software ze niet zou kunnen lezen, het probleem is echter dat de gebruiker dat vaak ook niet kan. Niets is irritanter dan telkens opnieuw een onleesbare code over te moeten tikken. Een mooi moment voor je bezoeker om af te haken.
En nu, gelukkig, is Captcha dan eindelijk ook echt waardeloos geworden. Captcha is dood! Waarom? Omdat het inmiddels mogelijk is om Captcha codes te laten ontcijferen via een online dienst: decaptcher.com. Deze online dienst maakt het mogelijk om geautomatiseerd Captcha codes te doorbreken. Aangezien het misbruiken van formulier ook geautomatiseerd plaats vindt (door robots) vormt een Captcha code geen belemmering meer. Het enige dat Captcha nog toevoegd aan je formulier is irritatie bij de gebruiker.
Opvallend is dat Google, die juist de Captcha dienst Recaptcha in 2009 heeft overgenomen, inmiddels ook heeft ingezien dat Captcha codes geen nut meer hebben. Dit blijkt bijvoorbeeld uit het feit dat je voor Gmail inmiddels een verificatie code per SMS krijgt in plaats van de online verificatie in combinatie met Captche die voorheen werd gebruikt.
Captcha is al jaren een doorn in het oog van iedereen die ook maar iets met usability heeft. Neem daarom een voorbeeld aan Google en verwijder Captcha van je formulieren.
Captcha is dood … eindelijk!
6 reacties op "Captcha is dood, eindelijk."
En wat is het alternatief als je geen bakken met geld hebt om SMS diensten te gebruiken als verificatie dienst?
@rob, dank voor je reactie!
Er zijn voldoende mogelijkheden om een robot die geautomatiseerd het formulier vult te onderscheiden van een mens. Oplossingen zijn bijvoorbeeld het vragen om een simpele rekensom op te lossen of om een zin af te maken door een woord te kiezen dat past (een fiets heeft een [bel/koe/raam]).
Maar mooier is het om de gebruiker helemaal niet te vermoeien met de robot/mens validatie. Hier is ook al door velen over nagedacht en een aardig idee dat ik tegen kwam is een onzichtbaar formulier veld. Voeg een normaal tekstvak toe aan een formulier en geef het een logische naam, bijvoorbeeld “company name”. Vervolgens gebruik je CSS om dit veld uit te zetten. De gebruiker zal dit veld niet invullen, maar een robot wel. Wanneer je formulier verzonden is en in het veld staat een waarde zou je met een robot te maken kunnen hebben en kun je alsnog met een striktere methode kunnen verifiëren.
Overigens zullen alle methoden die bedacht worden uiteindelijk omzeilt kunnen worden. Captcha was heel moeilijk voor robots, maar ook voor mensen. Het duurde langer om de verificatie te kraken, maar dat wil niet zeggen dat het een goede methode is uit usability oogpunt.
Mooi artikel, Bart.
Laatst hadden we ook met spambots te maken. Wij hebben er gewoon een checkbox van gemaakt (kan je nog een fijn tekstje bij verzinnen voor je bezoekers)
Dit niemand te ergeren en de spambots blijven ook weg.
In het idee van het onzichtbare veld zit ook wel iets;-)
Zullen we zeker eens uitproberen.
Ik vind het allemaal net iets te makkelijk geroepen. Ok, captcha’s kunnen vervelend zijn maar het is vaak alsnog makkelijker te implementeren dan een “vul aan”-verhaal, zeker als je met een site werkt met meerdere talen.
Daarbij zijn ze vaak helemaal niet zo slecht leesbaar. ReCaptcha was prima leesbaar voor de mens maar niet voor een spambot. Zo zijn er genoeg captcha scripts die je ook nog de moeilijkheidsgraad laten instellen.
Mijn advies is altijd; maak je eigen captcha script. De standaard scripts zijn altijd wel al een keer gekraakt en dan heb je er niet zoveel aan (maar altijd nog meer dan geen captcha hebben aangezien niet iedere autoformfiller een captchacracker gebruikt).
Kort samengevat ben ik het met bob eens; zeggen dat captcha dood is zonder een goed alternatief aan te brengen is te makkelijk.
@Peter: het was Rob niet Bob
Dank voor je reactie! Ongeacht of er nou wel of geen alternatief is, Captcha is gekraakt. Er veranderd niets aan de situatie dat het voor iedereen mogelijk is geworden om een Captcha code om te keren op eenvoudige en geautomatiseerde wijze.
Je schrijft dat Captcha makkelijk te implementeren is. Als je mijn blog leest, zul je merken dat ik de voorkeur geef aan software die gemaakt wordt met de gebruiker op de eerste plaats. Captcha gebruiken omdat het makkelijk te implementeren is terwijl je onderkent dat Captcha’s vervelend zijn voor de gebruiker, is op dit blog dus eigenlijk een zonde
Stel je wil een winkel binnen treden en aan de deur wordt je gevraagd om een Captcha code in te voeren…
Veel mensen zouden zich, terecht, gewoon omdraaien.
Het is dan ook wreed ongebruiksvriendelijk én klantonvriendelijk.
Het probleem van spambots moet je niet afschuiven op de mensen die eerlijke bedoelingen hebben.
Reageer