Inga Klas

Captcha Usability

, ,

Jetzt kommen wieder die ollen Web-Kamellen, denkt ihr sicher. Captchas gibt es schon ewig. Jepp, und genau so ewig funktionieren sie schon nicht vernünftig, wie ich die letzten Tage wieder leidvoll erfahren musste – oder kann von euch jemand den ersten Teil dieses Captchas lesen:

Schlechte Captcha Usability

Dieses Captcha wurde mit dem Dienst reCaptcha von Google erstellt, den man recht häufig im Web findet und der mehr schlecht als recht zu bedienen ist. Also lohnt es sich vielleicht doch, ein paar Worte über das Thema zu verlieren…

Captchas („Completely Automated Public Turing test to Tell Computers and Humans Apart“) werden im Web schon seit vielen Jahren verwendet, um automatisierte Spamattacken zu vermeiden. Eingesetzt werden sie vor allem in Anmelde- und Kontaktformularen oder Kommentarfunktionen von Blogs, Gästebüchern und Foren. Genau an diesen Stellen möchte man als Websitebetreiber eine möglichst geringe Abbruchquote haben. Captchas bringen allerdings eine Menge Nutzungsprobleme mit sich, die zu einer höheren Abbruchquote führen:

  1. Captcha? Kenn ich nicht: Vor allem weniger erfahrene Webnutzer wissen nicht, wozu Captchas gut sind. Erläuterungen sind oft wenig hilfreich oder gar nicht vorhanden. Ergebnis: Nutzer brechen den Vorgang ab.
  2. Schlecht lesbar: Selbst ich als (fast) Normalsichtiger habe immer wieder Probleme Captchas zu entschlüsseln.
  3. Accessibility-Probleme: Die ersten Implementierungen von Captchas waren rein bildbasiert, d.h. der Besucher musste eine Zeichenfolge eingeben, die nur in einem Bild angezeigt wurde. Damit wurden die meisten Besucher mit einer eingeschränkten Sehkraft ausgeschlossen.
  4. Komplexe Bedienung: Um die Accessibility-Probleme zu beheben, wurden bildbasierte Captchas durch Zusatzfunktionen erweitert: Widergabe als Audiodatei, Download der Audiodatei, erneutes Laden des Bild-Captchas. Die neuen Funktionen machten die Bedienung allerdings für alle Benutzer komplexer.

Beispiele für akzeptable Captcha Usability

Wenn schon Captchas, dann bitte so, dass sie den Benutzer möglichst wenig behindern.

  • ebay: Zeichenkette ist relativ gut zu entziffern, kurze Erläuterung der Funktion mit weiterführenden Hinweisen, „Captcha“ wird als Begriff vermieden, sekundäre Interaktionselemente sind auf Hyperlinks reduziert, was die gesamte Komplexität reduziert:
    Beispiel gute Captcha Usability ebay
  • Project Honeypot: Aus Benutzersicht ist das hier eine gut zu bedienendes Captcha, weil man die Zeichenkette gut lesen kann. Kenne mich mit den technischen Hintergründen zu wenig aus, würde aber vermuten, dass diese Lösung genau deswegen am einfachsten zu knacken ist. Was hier natürlich fehlt, sind Alternativen zur Bildausgabe.
    Gut lesbares Captcha von Project Honeypot

Einige neue Lösungen ersetzen die Zeicheneingabe durch andere visuelle Interaktionen, wie Drag’n’Drop oder Videoerkennung. Diese schränken aber wie frühe Captcha-Versionen den Benutzerkreis erheblich ein (für ein Beispiel siehe: Beispielseite wCaptcha). Lösungen, die mit Frage-Antwort Kombinationen oder Rechenaufgaben arbeiten, scheinen mir für die breite Masse ebenfalls nicht geeignet.

Alternativen zu Captchas

Captchas müssen nicht mehr sein, zumal dieser Sicherungsmechanismus immer häufiger ausgehebelt wird. Welche Alternativen gibt es?

  • Spamschutz-Lösungen für Blogs: Für WordPress gibt es verschiedene Plugins, um Kommentare auf Spam zu überprüfen. Das altgediente Aksimet Plugin ist zwar sehr wirkungsvoll, scheint aber mit den europäischen Datenschutzrichtlinien nicht vereinbar zu sein (abschließend ist das noch nicht geklärt). Als Alternative gibt es das datenschutz-konforme Plugin Antispam Bee von Sergej Müller.
  • Universell einsetzbare Spamschutz-Lösungen: Diesen Punkt werde ich an meinen technischen Berater zur weiteren Recherche übergeben. ;-) Prinzipiell kann man anhand verschiedener Kriterien darauf schließen, ob ein Mensch oder eine Maschine ein Formular abschickt, z.B. Dauer, die zwischen Öffnen der Seite und dem Abschicken eines Formulars vergeht, wie häufig ein Formular von derselben IP-Adresse verschickt wird, Browser-Interaktion einbauen, versteckte Eingabefelder, u.v.m. Wie wirksam diese Methoden sind, soll sich Christian mal anschauen.

Fazit
Wer Captchas einsetzt, muss sich im Klaren darüber sein, dass er nicht nur Spammer ausschließt, sondern auch echte Interessenten. Für Blogs gibt es die oben genannten Alternativen zur Vermeidung von Spam. Was Kontakt- und Anmeldeformulare angeht, würde ich in der Praxis zunächst das tatsächliche Spam-Aufkommen beobachten. Solange ich auf 10 echte Anfragen 1 Spamnachricht bekomme, kann ich diese noch manuell aussortieren. Wird es mehr Spam, muss eine automatisierte Lösung her. Sobald ich Neuigkeiten zum Thema habe, melde ich mich. Wenn ihr Ideen oder Anregungen habt, immer her damit – per Kommentarfeld ohne Captcha versteht sich. ;-)