Yu Blogue

Nos dernières réflexions

Le captcha (2/2) : alternatives et bonnes pratiques
23
Avr 2009

Le captcha (2/2) : alternatives et bonnes pratiques

Je parlais dans un précédent billet du captcha, de sa raison d’être, de sa facilité à être franchie et que le moyen consistant à brouiller plus encore le captcha devient aussi une difficulté pour l’humain.
Cependant, en cherchant les différentes stratégies possibles pour satisfaire la sécurité et permettre à l’utilisateur de passer cette étape, je me suis rendu compte qu’il existait beaucoup de variantes au captcha.  Voici un petit tour d’horizon de ceux-ci.

Le captcha classique


1. Inscription msn

Le captcha animé

2. Notice.fr

Avantage :
– Le captcha n’est pas dévoilé au complet à un instant t et/ou son environnement bouge constamment. Cela augmente la difficulté pour un robot.

Inconvénient :
– Le temps d’attente pour revoir les chiffres que l’utilisateur pourrait avoir manqués nécessite de rester attentif durant la totalité de l’animation.

Le captcha spécialisé

3. http://random.irb.hr/

Avantage :
– La compréhension du captcha est difficile pour un robot.

Inconvénients :
– Le temps de calcul pour l’humain est trop long par rapport à la lecture d’une série de chiffres et de lettres.
– Seules les personnes familières avec ces équations pourront utiliser le service. (Si cela est l’objectif, c’est parfait, sinon il vaut mieux éviter de perdre des utilisateurs).
– Les réponses à ce genre de captcha sont souvent simples pour ne pas augmenter le risque d’erreur, donc peu fiables. Ex. si la réponse était 1,748242149… Devra-t-on arrondir et à quelle décimale ? (Ici la réponse est 0…)

Le captcha basé sur le langage


4. Captcha de langage – Quel est le contraire de chaud ?

Avantages :
– Difficulté pour un robot de déterminer la syntaxe de la question et ainsi faire le lien entre les nombres et la réponse attendue ou les mots « contraire » et « chaud » pour le second captcha.
– Sur une question simple, la réponse sera facile et rapide pour l’utilisateur.

Inconvénients :
– Nécessite un gros travail de rédaction de questions pour qu’elles soient simples et induisent une réponse sans hésitation.

Le Captcha basé sur la reconnaissance

5. http-//www.interaction-design.org/

Avantage :
– Il est complexe pour un robot de pouvoir reconnaitre les formes sur les photos et de les identifier. D’autant plus que le détail et la qualité sont faibles, laissant une grande marge à l’erreur.

Inconvénient :
– Encore une fois, il faut faire attention. La reconnaissance d’un animal, par exemple, peut ne pas être évidente. On ne peut pas pré-supposer que les utilisateurs pourront trouver la réponse à cette « énigme ». Il est important de toujours avoir la possibilité d’obtenir un autre captcha qui pourrait correspondre au domaine de connaissance de l’utilisateur. Cela est valable pour tous les captchas.

Ainsi donc, il existe beaucoup de variantes dans les captchas et nous en avons vu de façon assez succinctes, les forces et les faiblesses. Ces captchas varient dans leur présentation, dans les interactions que doit effectuer l’utilisateur mais aussi dans les capacités cognitives qu’il doit mettre en œuvre: le langage, la reconnaissance de formes, le raisonnement (calcul, …).

Bien qu’il existe des méthodes d’analyse et de conception de formulaire permettant d’avoir une bonne idée de l’origine humaine ou non de celui qui a rempli le formulaire, elles sont selon moi des pratiques pouvant être rapidement contournée par le concepteur du robot. Par exemple, cacher un champ au yeux de l’utilisateur alors qu’il sera rempli par un robot pourrait facilement être contourné. Les patterns de ces pratiques sont bien plus simple à repérer que de modéliser des mécanismes cognitifs par un algorithme.

En conséquence, et même s’il peut paraître étrange d’avoir à prouver son humanité, il est plus intéressant de ne pas standardiser la forme du captcha et de continuer d’en offrir une grande variété, même au sein d’un unique service. Imaginons par exemple un service Y qui offre un captcha différent (de façon aléatoire) pour chaque accès à sa page d’inscription. Cela serait plus complexe, voire impossible à franchir pour un robot car il devra déterminer le type d’action et de réponse attendue face au problème posé par le captcha.
Néanmoins, il faut établir des “normes” car la difficulté réside dans la forme du captcha et la population doit pouvoir facilement et rapidement passer à travers cette étape, car elle ne doit surtout pas constituer un frein à l’accès au service en ligne. D’où l’importance de connaître les caractéristiques de ses utilisateurs et les mécanismes cognitifs mis en jeu pour franchir le captcha.

Les mots clés ne sont pas définis.

1 Commentaire(s)

karl

>la population doit pouvoir facilement et rapidement passer à travers cette étape, car elle ne doit surtout pas constituer un frein à l’accès au service en ligne.

Cependant le troisième segment de marché aux États-Unis sont les handicapés, c’est à dire les personnes ayant des problèmes d’accessibilité divers et variés. Voir http://www.dol.gov/odep/bsense/bsense0509.htm

Ajoutons à cela les personnes agées qui montent dans les civilisations occidentales. Pour mieux comprendre les enjeux d’accessibilité des systèmes CAPTCHA, le W3C a publié une note:

« Inaccessibility of CAPTCHA – Alternatives to Visual Turing Tests on the Web » http://www.w3.org/TR/turingtest/

Laisser un commentaire