web-dev-qa-db-fra.com

Quand un système CAPTCHA est-il une bonne idée?

Bien que je comprenne que c'est probablement une question très large, j'essaie de comprendre exactement quand l'ajout d'un CAPTCHA devient une exigence nécessaire pour un site. J'ai l'impression que beaucoup de clients me demandent d'ajouter des CAPTCHA à leurs sites et ils ne le demandent pas tous. Cependant, je ne suis pas toujours aussi éloquent sur ce sujet que je devrais l'être. Peut-être que cela pourrait aider si une réponse contenait des réponses à des questions comme celles-ci:

  • Quels types de sites Web devraient absolument avoir des CAPTCHA?
  • Quels types de sites Web devraient envisager d'utiliser les CAPTCHA, mais pas nécessairement les adopter?
  • Quels types de sites Web devraient se passer de CATCHA, car il y a très peu d'incitations à avoir une telle barrière?
formscaptchahoneypot-captcha
9
robinhoode

Le CAPTCHA est une bonne idée où n'importe quel bot en ligne peut s'inscrire et/ou publier sur votre site.

Wikipedia dit Les CAPTCHA sont utilisés pour empêcher les logiciels automatisés d'effectuer des actions qui dégradent la qualité de service d'un système donné, que ce soit en raison d'abus ou de dépenses en ressources. [...] Les CAPTCHA sont également utilisés pour minimiser la publication automatisée sur les blogs, les forums et les wikis, que ce soit à la suite d'une promotion commerciale, ou de harcèlement et de vandalisme.

Répondre à vos questions:

  • Sites harcelés par des publications automatisées.
  • Sites vulnérables aux publications automatisées mais en les évitant autrement que par les captchas.
  • Sites non vulnérables ou évitant efficacement les publications automatisées par d'autres moyens que les captchas.
8
JOG

Quels types de sites Web devraient absolument avoir des CAPTCHA? Aucun, sauf si vous pouvez avoir une preuve solide que le site Web sera victime de bots, et que vous ne pouvez pas résoudre ce problème par d'autres moyens qui ne diminuent pas l'expérience utilisateur comme le fait CAPTCHA.

Autres moyens

  • Pensez à votre compte bancaire. Une façon d'empêcher le piratage consiste à ajouter un CAPTCHA au formulaire de connexion. Du point de vue UX, c'est un désastre: imaginez que vous avez tapé un mauvais CAPTCHA. Vous devez maintenant retaper votre mot de passe de 12 caractères. Assez ennuyeux.

    Au lieu d'utiliser CAPTCHA, le site Web peut limiter le nombre de tentatives infructueuses à 3 par heure à partir de la même IP/vers le même compte, utiliser des audits appropriés pour suivre les tentatives de piratage, etc.

  • Considérez les sites Web Stack Exchange. Je serais en colère si ces sites Web me demandaient de taper un CAPTCHA chaque fois que je voulais poser une question, poster une réponse ou commenter quelque chose. Mais sur certains sites Web Stack Exchange que j'utilise le plus, j'ai suffisamment de réputation pour ne jamais voir le CAPTCHA apparaître, et même les nouveaux utilisateurs ne voient le CAPTCHA que dans certains cas, pas sur tous les messages.

    En général, ne demandez pas à remplir le CAPTCHA encore et encore. Si vous avez découvert que l'utilisateur est un humain il y a cinq minutes, il y a des chances que ce soit encore un humain maintenant.

  • Utilisez le pouvoir technique pour trouver les bots. Un être humain ne peut pas ouvrir une page, tapez un long message en 0,1 s. et l'envoyer. Si un utilisateur est si rapide, jetez sa soumission et demandez-lui doucement de prendre son temps et de la publier à nouveau après quelques secondes.

  • Utilisez votre communauté. La puissance des sites Stack Exchange est que vous pouvez venir, en tant qu'humain, et publier une publicité ou autre. Sur les sites les plus fréquentés, vos questions seraient immédiatement signalées et fermées par des utilisateurs ayant une réputation suffisante, puis supprimées par les modérateurs.

    Si sur votre site Web un nouveau message provenant d'un nouvel utilisateur est signalé par trois utilisateurs plus âgés, masquez-le jusqu'à ce que vous l'examiniez davantage. S'il est signalé par un seul utilisateur qui a publié plus de dix mille commentaires sur votre site Web, masquez ce message directement, sans attendre deux autres indicateurs.

N'oubliez pas: il existe de nombreux sites Web sans CAPTCHA (ou CAPTCHA peu intrusif) et sans spam (Stack Exchange en est un parfait exemple). S'ils peuvent le faire, vous le pouvez.

7
Arseni Mourzenko

Envisagez la mise en œuvre de CAPTCHA pour n'importe quel site ...

  • qui a une connexion et un trafic élevé ou qui devrait avoir un trafic élevé. Plus le site touche de personnes, plus il y a de chances que quelqu'un veuille jouer avec.
  • avec une opération Web qui nécessite une grande quantité de puissance de traitement ou de ressources du serveur Web. Les robots faisant ces appels à plusieurs reprises pourraient être problématiques
  • impliquant de l'argent.
  • impliquant un système de réputation. Ce n'est pas de l'argent, mais compte tenu du temps que certains utilisateurs passent sur des sites particuliers, c'est proche.
  • qui atteint des groupes qui ont des raisons connues de l'exploiter. Si le site tourne autour d'un sujet brûlant, le volume de trafic peut ne pas avoir d'importance. Les gens recherchent peut-être activement des sites comme le vôtre.

Si vous déterminez qu'un site doit avoir des CAPTCHA, voici quelques suggestions d'utilisation que je n'ai pas encore vues mentionnées:

  • Lors de la création du compte.
  • Pendant la connexion après X nombre de tentatives de connexion infructueuses consécutives.
  • Si la tentative précédente était un échec de connexion, évitez aux utilisateurs d'avoir à retaper des informations si seul le CAPTCHA était incorrect.
  • Avant une opération qui met une charge importante sur le serveur.
1
kraftydevil

"Quand est-ce une bonne idée" - jamais, du point de vue UX. "Quand est-ce une chose valable à utiliser malgré cela" - lorsque le côté de l'interface utilisateur significatif est justifié par l'importance de s'assurer qu'un être humain entre les données, pas un bot.

Votre question est en fait la mauvaise. Le problème n'est pas de savoir quand vous devez utiliser CAPTCHA, la question est quels sont les problèmes critiques pour ce site. S'il s'agit d'un bon UX, alors jamais, s'il s'agit de la validité des utilisateurs ou des données, alors les CAPTCHA sont une option, bien qu'il y en ait d'autres selon la nature de la solution et du problème. Se concentrer sur une solution particulière est la mauvaise approche - et vous feriez mieux de répondre à vos utilisateurs en leur demandant ce qu'ils attendent de CAPTCHA. Et résoudre leur problème réel, pas celui qu'ils pensent avoir.

1
Schroedingers Cat

Du point de vue de l'expérience utilisateur, il existe des approches de CAPTCHA qui sont beaucoup plus conviviales pour l'homme que ces captchas de texte affreux et déformés. J'en ai vu là-bas où l'utilisateur doit cliquer sur des images spécifiques, ou résoudre un petit jeu qui les oblige à identifier les deux objets qui vont ensemble, etc. Je pense que ces types de CAPTCHA offrent une meilleure expérience utilisateur.

1
weowe

Faites une liste de tous les sites que vous visitez où vous, en tant qu'utilisateur, aimez remplir le CAPTCHA.

Je vous laisse quelques minutes.

Terminé?

Je suppose que votre liste ne contient aucun élément.

Oui, d'un point de vue UX pur, demander aux utilisateurs de traiter avec CAPTCHAS est toujours une mauvaise idée.

Parfois, c'est nécessaire en raison d'une incapacité à contrôler les publications automatisées via d'autres technologies ou administrateurs, et dans ce cas, c'est devenu un mal nécessaire accepté.

0
DA01

Permettez-moi de vous simplifier les choses. Si vous pensez qu'à un moment donné, quelqu'un/un peu tentera de vous spammer/vous inonder de données non pertinentes (commentaires, faux comptes d'utilisateurs, fichiers corrompus, etc.), c'est quand vous devez implémenter CAPTCHA.

Pour moi, je construis une application dont je sais que tôt ou tard j'aurai des "attaques" et c'est pourquoi je minimise certains risques en ajoutant simplement un système captcha à ma page d'inscription.

0
w0rldart

Jamais!

Pourquoi une personne devrait-elle confirmer à un ordinateur qu'elle est bien une personne? Oui, je comprends parfaitement les raisons techniques pour lesquelles des captchas sont nécessaires, mais ce sont de mauvais UX.

Jetez un œil à cette vidéo, de l'équipe Google Analytics, pour l'interaction d'une personne avec un captcha (c'est à 1h02):

Google Analytics dans la vraie vie - Paiement en ligne

0
Atanasio Segovia