¿Los captchas valen la disminución de la usabilidad?

¿Cuándo es útil usar un captcha? ¿Cuándo es un obstáculo innecesario? ¿Un captcha es solo una solución rápida para el programador vago / inexperto, o son realmente la mejor manera de prevenir el spam y los bots?

ReCAPTCHA parece ser bastante seguro y probablemente durará más que cualquier otra solución CAPTCHA basada en OCR. Los CAPTCHA son útiles cuando no está seguro de si es un bot o un humano, es decir, después del segundo o tercer intento de inicio de sesión, o si permite comentarios anónimos. Una vez que un usuario se haya autenticado, descargue el CAPTCHA.

Una alternativa que aún no ha aparecido es el " SAPTCHA ".

Me encanta cómo la gente acepta fácilmente la "sabiduría convencional" sobre los CATPCHA. Como desarrollador web profesional con diez años de experiencia y algo de experiencia en accesibilidad, es mi opinión que bajo ninguna circunstanciadebería implementar CAPTCHAs. Me refiero a los tipos que tienen líneas, fuentes cursivas, efectos 3D, etc. En primer lugar, evitan que un gran número de usuarios accedan al contenido, incluidas muchas personas mayores o personas con discapacidad visual diaria (como daltonismo), o personas para quienes el inglés no es su lengua materna. En segundo lugar, citar "seguridad" no es una razón suficientemente buena. Esto se debe a que para el 99.5% del correo no deseado, que alguien vuelva a escribir una palabra de cinco letras es suficiente "seguridad". Estos míticos "robots" a los que la gente se refiere a menudo no son realmente tan sofisticados. E incluso entonces, para aquellos que son sofisticados (nuevamente, que es un número muy pequeño), un CAPTCHA típico no será suficiente de todos modos. Entonces, dado que todo lo negativo supera con creces cualquier beneficio real, que se imagina principalmente de todos modos, no hay una buena razón para usarlos. Si desea evitar el SPAM, todo lo que necesita es que la gente vuelva a escribir una palabra como "blog" (y está bien si pueden copiar y pegar). Esto es totalmente accesible y, confía en mí, es suficiente "seguridad". Se sorprenderá al descubrir que se elimina todo su correo basura y que ni siquiera tuvo que cortar grandes segmentos de usuarios.

copiado de otra respuesta por el mismo usuario

Estuve de acuerdo con esta publicación hasta cierto punto: "En mi experiencia, incluso si tienes el mejor captcha del mundo, hay muchos spammers que actualmente emplean humanos reales por salarios muy bajos para simplemente visitar el sitio, registrarte (o lo que sea) y publique su spam 'manualmente'.

Por lo tanto, cualquier sistema que requiera que diferencie entre "humano" y "bot" no funcionará cuando se enfrente a un humano real. Cualquiera sea el sistema que se le ocurra, no será infalible y tendrá que verificar manualmente el contenido anónimo (o "casi anónimo", es decir, el nuevo registro) ".

Luego, lo publicado comenzó a sugerir algunos complicados Javascript. Nuevamente, como dije anteriormente, solo pedirle al usuario que vuelva a escribir algo (debo agregar texto seleccionado al azar es ideal) es tan efectivo como mostrar una imagen oscura de algo que necesita descifrar. El aspecto de descifrado es una capa innecesaria, en mi opinión. Nuevamente, esa es solo mi opinión, pero esto ha sido completamente efectivo para mí.

También debo agregar que los CAPTCHA no se pueden usar en sitios web del gobierno porque violan las reglas de la Sección 508.

En mi experiencia, incluso si tiene el mejor captcha del mundo , hay muchos spammers que actualmente emplean humanos reales por salarios muy bajos para visitar el sitio, registrarse (o lo que sea) y publicar su spam 'manualmente'.

Por lo tanto, cualquier sistema que requiera que diferencie entre "humano" y "bot" no funcionará cuando se enfrente a un humano real . Cualquiera sea el sistema que se le ocurra, no será infalible y deberá verificar manualmente el contenido anónimo (o "casi anónimo", es decir, el nuevo registro).

De hecho, he descubierto que un sistema bastante bueno es uno que requiere JavaScript. Es decir, tener algún javascript en la página que copie un valor generado aleatoriamente en un campo especial en el formulario. En el servidor, verifique que el valor se haya copiado. En mi experiencia, eso ha detenido a muchos spammers. No es 100%, y quizás no sea tan bueno como ReCAPTCHA, pero funciona lo suficientemente bien para los sitios en los que he trabajado, y no tiene que preocuparse por la accesibilidad (hay clientes que no tienen javascript, pero son menos y más entre estos días).

El uso de campos honeypot es / fue un método para reducir el spam sin costo de usabilidad real.

Aquí hay un artículo que describe cómo funciona con algo de magia CSS, y aunque notaron que su efectividad disminuyó, aún atrapará algunos bots. Probablemente también hay técnicas más avanzadas además de CSS (léase: JS) que pueden aumentar la efectividad de los honeypots.

Hay otra forma de prevenir el spam y los bots, pero el captcha funciona mejor. A veces, hacer una pregunta simple en una forma como "2 + 10 =" o "¿Eres humano?" funciona bien como captcha, al menos por un tiempo.

Uso reCaptcha porque corta el 90% del spam con un 5% de esfuerzo.

No he hecho que la gente se queje de que el captcha es difícil, hace las cosas más difíciles o tiene una capacidad de uso disminuida.

Los spammers y los bots son abundantes. Es muy fácil raspar un formulario y comenzar a enviar solicitudes incorrectas en masa . Es una forma simple, segura y comprobada de reducir significativamente el spam y los bots. No es una solución rápida para los perezosos o inexpertos, más bien la experiencia ha llevado a esta solución y ahora es fácil de implementar.

¿Me gustan las captchas? Diablos no. Líneas onduladas, qué significa, opps, lo ingresé mal. Sin embargo, es efectivo.

También aceptaría que es necesario reducir la cantidad de spam que recibe, antes de ir e implementar cualquier contramedida, ¿podríamos pensar?

1. ¿Es necesario automatizar la detección? Para un sitio web de poco tráfico, la moderación manual puede ser suficiente. De todos modos, querrás evitar que la gente agregue comentarios racistas / insultantes, ¿no?
2. ¿Es necesario pasar una prueba de Turing para algún comentario? Los spammers generalmente intentan pasar las URL, por lo que solo la activación de contramedidas cuando se detecta una url parece viable (aunque un poco más complicado).
3. ¿Es necesario pasar una prueba de Turing cada vez? Los usuarios anónimos podrían tener que filtrarse (aunque podría recordar las IP), pero los usuarios autenticados podrían filtrarse solo cuando se vuelvan "spam", por ejemplo, cada quinto comentario en menos de una hora (o un día), y solo hasta que hayan probado (sistema basado en la lista blanca alimentado de forma manual o automática)

Esas 3 ideas deberían reducir en gran medida la cantidad de personas expuestas a esas contramedidas, y la cantidad de veces que también están sujetas a ellas.

Además de eso, son otras medidas contrarias a las captchas, como pedir una dirección de correo electrónico, enviar un mensaje y esperar una respuesta con un texto en particular como asunto (generado aleatoriamente) antes de publicar realmente (con una hora tiempo de espera antes de tirar el comentario, digamos).

En mi experiencia, los captchas son la mejor manera de prevenir el spam, no importa qué tan bien esté programado el formulario, siempre habrá un bot de spam mejor que su aplicación.