Os captchas valem a menor usabilidade?

Quando é útil usar um captcha? Quando é um obstáculo desnecessário? Um captcha é apenas uma solução rápida para o programador preguiçoso / inexperiente, ou eles são realmente a melhor maneira de evitar spam e bots?

O ReCAPTCHA parece ser bastante seguro e provavelmente superará qualquer outra solução CAPTCHA baseada em OCR. Os CAPTCHAs são úteis quando você não tem certeza se é um bot ou um humano - ou seja, após a segunda ou terceira tentativa de login ou se você permite comentários anônimos. Depois que um usuário for autenticado, despeje o CAPTCHA.

Uma alternativa que ainda não surgiu é o " SAPTCHA ".

Eu simplesmente amo como as pessoas aceitam prontamente a "sabedoria convencional" sobre os CATPCHAs. Como desenvolvedor Web profissional, com dez anos de experiência e com alguma experiência em acessibilidade, é minha opinião que, sob nenhuma circunstânciavocê deve implementar CAPTCHAs. Estou me referindo aos tipos que possuem linhas, fontes cursivas, efeitos 3D etc. Antes de tudo, eles impedem que um grande número de usuários acessem conteúdo, incluindo muitas pessoas mais velhas ou pessoas com problemas de visão diários (como daltonismo) ou pessoas para as quais o inglês não é sua primeira língua. Em segundo lugar, citar "segurança" não é uma razão suficientemente boa. Isso ocorre porque, para 99,5% do spam, ter alguém redigitando uma palavra de cinco letras é suficiente "segurança". Esses "robôs" míticos aos quais as pessoas costumam se referir não são realmente tão sofisticados. E mesmo assim, para aqueles que são sofisticados (novamente, que é um número muito pequeno), um CAPTCHAs típico não será suficiente de qualquer maneira. Portanto, considerando que todo o negativo supera qualquer benefício real, que na maioria das vezes é imaginado, não há boas razões para usá-los. Se você deseja impedir o SPAM, tudo o que você precisa é que as pessoas digitem novamente uma palavra como "blog" (e tudo bem se elas puderem copiar e colar). Isso é totalmente acessível e, confie em mim, é suficiente "segurança". Você ficará surpreso ao descobrir que todo o spam é eliminado e nem precisava cortar grandes segmentos de usuários.

copiado de outra resposta pelo mesmo usuário

Eu concordei com este post até um certo ponto: "Na minha experiência, mesmo que você tenha o melhor captcha do mundo, há muitos spammers que atualmente empregam humanos reais por salários muito baixos para simplesmente visitar o site, inscreva-se (ou o que for) e poste o spam 'manualmente'.

Portanto, qualquer sistema que exija que você diferencie "humano" e "bot" não funcionará quando confrontado com um humano real. Qualquer sistema que você criar não será à prova de idiotas e você precisará verificar manualmente o conteúdo anônimo (ou "quase anônimo" - ou seja, nova inscrição). "

Em seguida, o post começou sugerindo algum Javascript complicado. Novamente, como afirmei acima, apenas solicitar ao usuário que digite novamente algo (devo adicionar o texto selecionado aleatoriamente é o ideal) é tão eficaz quanto mostrar uma imagem obscura de algo que você precisa decifrar. O aspecto decifrador é uma camada desnecessária, na minha opinião. Novamente, essa é apenas a minha opinião, mas isso foi completamente eficaz para mim.

Devo também acrescentar que os CAPTCHAs não podem ser usados ​​em sites do governo porque violam as regras da Seção 508.

Na minha experiência, mesmo que você tenha o melhor captcha do mundo , existem muitos spammers que hoje em dia empregam humanos reais por salários muito baixos para simplesmente visitar o site, se inscrever (ou o que quer) e postar o spam 'manualmente'.

Portanto, qualquer sistema que exija que você diferencie "humano" e "bot" não funcionará quando confrontado com um humano real . Qualquer sistema que você criar não será à prova de idiotas e você precisará verificar manualmente o conteúdo anônimo (ou "quase anônimo" - ou seja, nova inscrição).

Na verdade, eu descobri que um sistema muito bom é aquele que requer javascript. Ou seja, tenha algum javascript na página que copia um valor gerado aleatoriamente em um campo especial no formulário. No servidor, verifique se o valor foi copiado. Na minha experiência, isso impediu muitos spammers. Não é 100% e talvez não seja tão bom quanto o ReCAPTCHA, mas funciona bem o suficiente para os sites em que trabalhei e você não precisa se preocupar com a acessibilidade (existem clientes que não têm javascript, mas eles são cada vez menos nos dias de hoje).

O uso de campos de honeypot é / foi um método para reduzir o spam sem nenhum custo real de usabilidade.

Aqui está um artigo descrevendo como ele funciona com alguma mágica de CSS e, embora eles notem que sua eficácia diminuiu, ainda ocorrerá alguns bots. Provavelmente também existem técnicas mais avançadas além do CSS (leia-se: JS) que podem aumentar a eficácia dos honeypots.

Há outra maneira de impedir spam e bots, mas o captcha funciona melhor. Às vezes, fazendo uma pergunta simples em um formulário como "2 + 10 =" ou "Você é humano?" funciona bem como um captcha, por um tempo pelo menos.

Eu uso o reCaptcha porque corta 90% do spam com 5% de esforço.

Não tive pessoas reclamando que o captcha é difícil, dificulta as coisas ou tem alguma usabilidade reduzida.

Spammers e bots são abundantes. É muito fácil raspar um formulário e começar a enviar solicitações ruins em massa . É uma maneira simples, segura e comprovada de reduzir significativamente spam e bots. Não é uma solução rápida para os preguiçosos ou inexperientes, mas a experiência levou a essa solução e agora é fácil de implementar.

Eu gosto de captchas? De jeito nenhum. Linhas rabiscadas, o que significa, opps, digitei errado. Ele é eficaz embora.

Também aceitaria que é necessário reduzir a quantidade de spam que você recebe antes de implementar qualquer contramedida, vamos pensar?

1. É necessário automatizar a detecção? Para um site de baixo tráfego, a moderação manual pode ser suficiente. Você vai querer impedir que as pessoas adicionem comentários racistas / insultuosos, não é?
2. É necessário passar no teste de Turing para qualquer comentário? Os spammers geralmente tentam transmitir URLs, portanto, apenas ativar contramedidas quando uma URL é detectada parece viável (embora um pouco mais complicado).
3. É necessário passar sempre no teste de Turing? Usuários anônimos podem ter que ser filtrados (embora você possa se lembrar de IPs), mas usuários autenticados só podem ser filtrados quando se tornarem "spam", por exemplo, cada quinto comentário em menos de uma hora (ou um dia) e apenas até que tenham comprovados (sistema baseado em lista branca alimentado manual ou automaticamente)

Essas três idéias devem reduzir bastante o número de pessoas expostas a essas medidas e o número de vezes que elas são submetidas a elas também.

Além disso, existem outras medidas que não são captchas, como solicitar um endereço de e-mail, enviar uma mensagem e aguardar uma resposta com um texto específico como assunto (gerado aleatoriamente) antes de realmente postar (com uma hora de duração). tempo limite antes de descartar o comentário, digamos).

Na minha experiência, os captchas são a melhor maneira de evitar spam, não importa o quão programado seja o formulário, sempre haverá um bot de spam melhor que o seu aplicativo.