Ob Motorräder oder Ampeln finden, einfache Rechenaufgaben lösen oder bis zur Unkenntlichkeit verzerrte Buchstaben entziffern – der Kreativität der Erfinder sogenannter Captchas, also kleiner Tools die Menschen von Robotern unterscheiden sollen, ist offenbar keine Grenze gesetzt. Hierbei handelt es sich um gewollte Barrieren, schließlich möchte man bewusst jemanden ausschließen: Bots, kleine Programme, die Formulare automatisch ausfüllen und damit in den meisten Fällen nichts gutes im Sinn haben. Die Captchas versuchen dabei Dinge abzufragen, die ein Mensch kann, eine Software aber nicht oder nur sehr schwer. Seit der rasanten Weiterentwicklung künstlicher Intelligenz kann man sich zwar die Frage stellen, wieviele dieser Algorithmen wirklich noch funktionieren, eins tun sie aber alle: sie schließen Menschen mit bestimmten Einschränkungen aus. Doch gibt es auch barrierefreie Captchas? Oder finden sich barrierefreie Alternativen zu Captchas um möglichst zuverlässig Spam-Bots vom eigenen barrierefreien Formular fernzuhalten?
Barrierefreiheit von Text- und Mathe-Captchas
Die einfachste Lösung aus Sicht der Entwickler sind einfache Text-oder Mathe-Captchas, deren Text abgetippt oder deren Aufgabe ausgerechnet werden soll. Dabei werden gleich eine ganze Reihe von Menschen ausgeschlossen:
- Menschen mit Sehbeeinträchtigungen
- Menschen mit Dyslexie (Schwierigkeiten beim Lesen)
- Menschen mit Dyskalkulie (Schwierigkeiten beim Rechnen)
Wen man allerdings mit dieser Methode kaum ausschließt sind Bots, denn wenn Computer etwas so richtig gut können, dann ist das rechnen. Auch die immer wieder gleichen Schriftmuster zu erkennen ist mit ein wenig Training des Algorithmus‘ kein Problem. Diese Algorithmen sind also nicht nur schlecht für die Barrierefreiheit Ihrer Website, sondern auch noch nutzlos.
Außerdem: was bringt es, aufwendig eine barrierefreie Schriftart zu wählen, wenn man sie dann an einer der wichtigsten Stellen bewusst unleserlich macht? Mehr Informationen über die Barrierefreiheit von Schrift gibt es in einem vergangenen Blogbeitrag.
Google ReCaptcha – eine barrierefreie Alternative?
Der von Google angebotene Dienst ReCaptcha bietet mehrere alternative Captchas an um so unterschiedlichen Bedürfnissen gerecht zu werden. Vom einfachen Setzen eines Hakens über die bekannten visuellen Captchas, bei denen Bilder mit Ampeln oder Motorrädern gefunden werden müssen. Nutzer können außerdem auch auf ein akustisches Captcha wechseln. Das klingt nach vielen Möglichkeiten um möglichst barrierefrei auf die Bedürfnisse aller Menschen einzugehen und barrierefreie Captchas in Formularen zu ermöglichen. Aber auch all diese Möglichkeiten sorgen nicht für ein wirklich barrierefreies Captcha:
- Die Checkboxen haben oft technische Probleme.
- Visuelle Captchas schließen Menschen mit Sehbehinderungen aus. Die akustische Alternative ist über die Tastaturbedienung jedoch oft schwer zu erreichen und so bleibt diese für Betroffene oft unsichtbar.
- Akustische Captchas sind entweder auch von Bots einfach zu verstehen oder so verzerrt, dass sie für Menschen schwer wiederzugeben sind. Außerdem sind sie abhängig von der Umgebungslautstärke und müssen auch sprachlich vom Nutzer verstanden werden. Oft sind die Captchas in Englisch – vor allem für ältere Menschen ein Problem
Unsichtbare barrierefreie Captchas
Google Recaptcha hat es mit Version 3 vorgemacht und viele Anbieter sind nachgezogen. Inzwischen gibt es viele Anbieter, die damit werben, barrierefreie Captchas anzubieten, welche im Hintergrund geladen werden. Für den Nutzer unsichtbar wird über einen Punktwert entschieden, ob es sich wahrscheinlich um einen Menschen oder eine Maschine handelt, die gerade mit der Website interagiert. Dabei werden Interaktionszeiten eingerechnet, aber auch die Mausbewegung und Navigationspfade.
Nutzer von Screenreadern bewegen sich aber oft ähnlich wie Bots: sie nutzen Shortcuts um direkt zum Kontaktformular zu springen, navigieren mit der Tabulatortaste schnell von Feld zu Feld und nutzen automatische Vervollständigungen wo immer diese unterstützt werden. Dadurch sind sie schnell, direkt und für ein automatisches Captha möglicherweise nicht menschlich genug.
Barrierefreier Spamschutz ohne barrierefreie Captchas?
Muss man nun also jeden Spam erdulden? Nein, denn es gibt genügend Alternativen, mit denen man ohne Barrieren unnötige Kontaktanfragen verhindern kann.
Honeypot
Ein Honeypot, auf deutsch Honigtopf, soll Angreifer in eine Falle locken. Dazu wird, für sehende Nutzer unsichtbar, ein zusätzliches Eingabefeld hinzugefügt. Dieses erhält zusätzlich ein Label, welches Nutzern von Screenreadern erklärt, dass das Eingabefeld nicht befüllt werden darf. Am besten eignen sich dazu außerdem Feldnamen, die für Bots unwiderstehlich sind, ich verwende beispielsweise gern „url“. Jeder Spambot möchte gern seine Links verteilen. Der Trick: das Formular wird nur dann abgesendet, wenn das Feld leer ist. Wird es befüllt, so handelt es sich scheinbar um einen Bot.
Wortfilter
Spam hat oft zwei Themen: Sex oder Geld. Wenn Sie nicht erwarten, dass diese beiden Themen Teil von Kontaktanfragen sind, dann lohnt es sich, einen Spamfilter auf Basis einer Wortliste einzuführen. Werden in den Anfragen bestimmte Schlüsselwörter gehäuft gefunden, dann handelt es sich höchstwahrscheinlich um Spam und die Nachricht kann ausgefiltert werden.
Zeit
Ein Formular auszufüllen dauert, zumindest wenn man es selbst tut. Bots wollen binnen kurzer Zeit tausende Formulare versenden. Sie finden Formulare, füllen alle Felder aus und senden das Formular ab. Verfügt ihr Formular über eine Sperre, die das Versenden erst nach 5-10 Sekunden zulässt, dann haben sie so schon eine effiziente Barriere gegen viele Bots geschaffen. Nicht, dass diese nicht warten könnten. Aber es lohnt sich einfach nicht.
Barrierefreie Captchas – Fazit
Barrierefreie Captchas gibt es nicht. Ein barrierefreies Captcha wäre eines, welches keinen Nutzen bringt, da es niemanden ausschließt. Das klingt unsinnig? Ist es auch. Wenn Sie Ihre Website also barrierefrei umsetzen wollen, dann verzichten Sie auf Captchas möglichst vollständig und setzen Sie auf eine Kombination leichtgewichtiger, aber inklusiver Methoden. Suchen Sie nicht nach Dingen, die die Technik kann oder eben nicht kann. Suchen Sie nach den Dingen, die die Angreifer wollen, ihre Nutzer aber nicht. Dann werden Sie auch zukünftig gegen, durch KI aufgerüstete, Spam-Bots gewappnet sein ohne Menschen auszuschließen.
Mehr Informationen über die Barrierefreiheit von Captchas gibt es beim Deutschen Blinden- und Sehbehindertenverband.