Definisi
reCAPTCHA v3 adalah iterasi besar ketiga dari layanan CAPTCHA Google, dirilis pada Oktober 2018. Tidak seperti pendahulunya — yang meminta pengguna mencentang kotak atau memecahkan teka-teki gambar — v3 sepenuhnya pasif. Ia berjalan diam-diam di latar belakang browser, mengamati interaksi pengguna di seluruh halaman, dan menghasilkan skor risiko numerik yang digunakan pemilik situs untuk memutuskan cara menangani sesi. Skor 1,0 mewakili keyakinan tinggi bahwa pengunjung adalah manusia; skor 0,0 menunjukkan traffic otomatis yang hampir pasti.
Sistem ini dibangun di atas infrastruktur reCAPTCHA v2 tetapi menghilangkan friksi tantangan pengguna eksplisit. Tujuan yang dinyatakan Google adalah menghilangkan interaksi “Saya bukan robot” sepenuhnya bagi sebagian besar pengguna sah, mengurangi tingkat pengabaian keranjang dan keluar formulir sambil mempertahankan atau meningkatkan cakupan deteksi bot.
Cara Kerja reCAPTCHA v3
reCAPTCHA v3 beroperasi melalui library JavaScript yang dimuat dari https://www.google.com/recaptcha/api.js. Setelah dimuat, ia mulai secara pasif mengumpulkan fingerprint perilaku untuk sesi saat ini. Sinyal yang dikumpulkan mencakup trajektori gerakan mouse, perilaku scroll, pola timing antar ketukan tombol, urutan interaksi DOM, usia dan aktivitas cookie akun Google di browser (jika ada), dan karakteristik jaringan dari koneksi asal.
Saat pemilik situs ingin mengevaluasi tindakan tertentu — seperti submisi formulir atau klik tombol vote — mereka memanggil grecaptcha.execute(siteKey, {action: 'vote'}). Hal ini memicu infrastruktur analisis risiko Google untuk menghitung skor untuk sesi dan mengembalikan token yang ditandatangani (sebuah JSON Web Token) ke browser. Token kemudian dikirim bersamaan dengan data formulir.
Di sisi server, aplikasi penerima mengirim token ke endpoint verifikasi Google di https://www.google.com/recaptcha/api/siteverify, bersama dengan kunci rahasia situs. Respons Google mencakup skor numerik, timestamp, nama tindakan, dan konfirmasi hostname. Pengembang aplikasi menetapkan ambang batas — biasanya 0,5 — di bawahnya submisi diblokir, ditandai untuk peninjauan tambahan, atau dikirim ke tantangan sekunder seperti reCAPTCHA v2.
reCAPTCHA Enterprise, tier berbayar yang tersedia melalui Google Cloud, memperluas v3 dengan sinyal tambahan, penjelasan skor yang dipecah berdasarkan faktor yang berkontribusi, fitur account defender, dan jaminan Service Level Agreement.
Di Mana Anda Menemuinya
reCAPTCHA v3 diterapkan di berbagai properti web di mana verifikasi tanpa friksi menjadi prioritas. Platform kontes dan sweepstakes mengintegrasikannya di endpoint submisi vote dan formulir registrasi akun. Platform e-commerce menggunakannya saat checkout untuk mencegah credential-stuffing. Publikasi berita menggunakannya pada endpoint submisi komentar. Perusahaan jasa keuangan menerapkannya pada alur reset password dan transfer dana. Platform penjualan tiket menggunakannya untuk memperlambat bot calo selama on-sales permintaan tinggi.
Karena v3 tak terlihat, keberadaannya di halaman tidak terlihat oleh pengguna biasa — hanya pengembang yang memeriksa source halaman atau memantau traffic jaringan akan memperhatikan panggilan API recaptcha.
Contoh Praktis
Kontes fotografi regional yang dihosting di microsite kustom mengintegrasikan reCAPTCHA v3 di endpoint vote-nya. Setiap submisi vote memicu panggilan grecaptcha.execute. Submisi yang skornya di bawah 0,3 diam-diam dibuang; submisi antara 0,3 dan 0,5 dicatat untuk tinjauan batch di akhir kontes; submisi di atas 0,5 dicatat segera. Operator kontes meninjau submisi yang ditahan dan mendiskualifikasi yang berbagi fingerprint perangkat atau berasal dari rentang IP terkonsentrasi.
Sebuah nirlaba nasional menjalankan kompetisi hibah di mana vote publik menentukan sebagian alokasi pendanaan. Platform menggunakan reCAPTCHA v3 dalam kombinasi dengan konfirmasi email. Skor CAPTCHA disimpan dengan setiap record vote, memungkinkan administrator memberi ambang batas ulang data setelah kontes ditutup — secara efektif menyesuaikan sensitivitas penolakan bot secara retroaktif berdasarkan distribusi skor yang teramati.
Program penghargaan mahasiswa universitas menerapkan reCAPTCHA Enterprise untuk memanfaatkan penjelasan skor. Log audit menunjukkan bahwa lonjakan vote berskor rendah pada satu entri nominasi berasal dari satu subnet, dan jumlah vote entri disesuaikan sebelum pemenang diumumkan.
Konsep Terkait
reCAPTCHA v3 berdiri bersama generasi CAPTCHA sebelumnya dalam ekosistem deteksi yang sama. Entri dasar pada reCAPTCHA mencakup mekanika v1 dan v2 secara detail. hCaptcha dan Cloudflare Turnstile adalah sistem pesaing yang menawarkan trade-off berbeda seputar privasi, tipe tantangan, dan ketergantungan vendor. Behavioral biometrics menjelaskan kategori yang lebih luas dari pengukuran interaksi pasif yang mendasari pendekatan penilaian reCAPTCHA v3.
Keterbatasan / Catatan
reCAPTCHA v3 mendelegasikan keputusan ambang batas risiko sepenuhnya kepada operator situs, yang menciptakan inkonsistensi di antara penerapan. Situs yang mengatur ambangnya pada 0,3 menerima traffic bot yang jauh lebih banyak daripada yang diatur pada 0,7. Google tidak mempublikasikan sinyal atau bobot spesifik di balik skor, sehingga audit independen tidak mungkin. Selain itu, karena sistem sebagian bergantung pada telemetri akun Google, pengguna yang tidak masuk ke akun Google — atau yang menggunakan browser yang memblokir cookie Google — mungkin menerima skor lebih rendah daripada yang seharusnya berdasarkan perilaku mereka, yang berpotensi memicu positif palsu untuk pemilih sah.
