Definitie
reCAPTCHA v3 is de derde grote iteratie van Google’s CAPTCHA-dienst, uitgebracht in oktober 2018. In tegenstelling tot zijn voorgangers — die gebruikers vroegen een vakje aan te vinken of beeldpuzzels op te lossen — is v3 volledig passief. Het draait stilletjes op de achtergrond in de browser, observeert gebruikersinteracties op de pagina, en produceert een numerieke risicoscore die de site-eigenaar gebruikt om te beslissen hoe met de sessie wordt omgegaan. Een score van 1,0 vertegenwoordigt hoge mate van vertrouwen dat de bezoeker een mens is; een score van 0,0 wijst op bijna-zekere geautomatiseerd verkeer.
Het systeem bouwt voort op de infrastructuur van reCAPTCHA v2, maar verwijdert de wrijving van expliciete gebruikersuitdagingen. Google’s vermelde doel was om de “Ik ben geen robot”-interactie volledig te elimineren voor de overgrote meerderheid van legitieme gebruikers, waardoor winkelmandverlating en formulier-uitval-percentages worden verminderd terwijl bot-detectiedekking wordt behouden of verbeterd.
Hoe reCAPTCHA v3 werkt
reCAPTCHA v3 werkt via een JavaScript-bibliotheek geladen vanaf https://www.google.com/recaptcha/api.js. Eenmaal geladen, begint het passief een gedragsfingerprint te verzamelen voor de huidige sessie. De verzamelde signalen omvatten muisbeweging-trajecten, scrollgedrag, timingpatronen tussen toetsaanslagen, de volgorde van DOM-interacties, de leeftijd en activiteit van de Google-account-cookie in de browser (indien aanwezig), en de netwerkkenmerken van de oorsprongsverbinding.
Wanneer de site-eigenaar een specifieke actie wil evalueren — zoals een formulier-inzending of een stemknop-klik — roepen ze grecaptcha.execute(siteKey, {action: 'vote'}) aan. Dit triggert Google’s risico-analyse-infrastructuur om een score voor de sessie te berekenen en een ondertekende token (een JSON Web Token) terug te sturen naar de browser. De token wordt vervolgens samen met de formuliergegevens ingediend.
Aan de serverkant stuurt de ontvangende applicatie de token naar Google’s verificatie-eindpunt op https://www.google.com/recaptcha/api/siteverify, samen met de geheime sleutel van de site. Google’s antwoord bevat de numerieke score, een tijdstempel, de actienaam en een hostname-bevestiging. De applicatie-ontwikkelaar stelt een drempel in — vaak 0,5 — waaronder inzendingen worden geblokkeerd, voor extra review worden gemarkeerd, of naar een secundaire uitdaging zoals reCAPTCHA v2 worden gestuurd.
reCAPTCHA Enterprise, het betaalde tier beschikbaar via Google Cloud, breidt v3 uit met aanvullende signalen, score-verklaringen uitgesplitst per bijdragende factor, account defender-functies en SLA-garanties.
Waar je het tegenkomt
reCAPTCHA v3 wordt ingezet over een breed scala aan webproperties waar wrijvingsloze verificatie een prioriteit is. Wedstrijd- en sweepstakes-platformen integreren het bij het stem-inzendingseindpunt en het account-registratieformulier. E-commerce platformen gebruiken het bij checkout om credential stuffing te voorkomen. Nieuwspublicaties gebruiken het op reactie-inzendingseindpunten. Financiële dienstverleners passen het toe bij wachtwoord-reset- en geldoverdrachtsstromen. Ticketverkoopplatformen gebruiken het om scalper-bots te vertragen tijdens hoog-vraag on-sales.
Omdat v3 onzichtbaar is, is zijn aanwezigheid op een pagina niet duidelijk voor gewone gebruikers — alleen ontwikkelaars die de paginabron onderzoeken of het netwerkverkeer monitoren, zullen de recaptcha API-aanroepen opmerken.
Praktische voorbeelden
Een regionale fotografiewedstrijd gehost op een aangepaste microsite integreert reCAPTCHA v3 op zijn stem-eindpunt. Elke steminzending triggert een grecaptcha.execute-aanroep. Inzendingen die onder 0,3 scoren worden stilzwijgend weggegooid; inzendingen tussen 0,3 en 0,5 worden gelogd voor batch-review aan het einde van de wedstrijd; inzendingen boven 0,5 worden onmiddellijk geregistreerd. De wedstrijdorganisator beoordeelt de aangehouden inzendingen en diskwalificeert die welke apparaat-fingerprints delen of afkomstig zijn van geconcentreerde IP-bereiken.
Een nationale non-profit voert een subsidiecompetitie uit waarbij publieksstemmen een deel van de financieringsallocatie bepalen. Het platform gebruikt reCAPTCHA v3 in combinatie met e-mailbevestiging. De CAPTCHA-score wordt opgeslagen bij elke stemregistratie, waardoor de beheerder de gegevens na het sluiten van de wedstrijd opnieuw kan thresholden — feitelijk de bot-afwijzingsgevoeligheid retroactief aanpassend op basis van de geobserveerde scoreverdeling.
Een universitair studentenprijsprogramma zet reCAPTCHA Enterprise in om gebruik te maken van score-verklaringen. Het audit-log toont dat een piek van laag-scorende stemmen op één nominatie-inzending afkomstig was uit één subnet, en het stemtotaal van de inzending wordt dienovereenkomstig aangepast voordat de winnaars worden aangekondigd.
Verwante begrippen
reCAPTCHA v3 staat naast eerdere CAPTCHA-generaties in hetzelfde detectie-ecosysteem. Het basisitem over reCAPTCHA behandelt v1- en v2-mechanica in detail. hCaptcha en Cloudflare Turnstile zijn concurrerende systemen die verschillende compromissen bieden rond privacy, uitdagingstype en leveranciers-afhankelijkheid. Behaviorale biometrie beschrijft de bredere categorie van passieve interactiemeting die ten grondslag ligt aan de scoringaanpak van reCAPTCHA v3.
Beperkingen / kanttekeningen
reCAPTCHA v3 delegeert de risicodrempelbeslissing volledig aan de site-operator, wat inconsistentie creëert over implementaties heen. Een site die zijn drempel op 0,3 instelt accepteert aanzienlijk meer botverkeer dan een site die op 0,7 staat. Google publiceert niet de specifieke signalen of gewichten achter de score, waardoor onafhankelijke audit onmogelijk is. Bovendien, omdat het systeem deels vertrouwt op Google-account-telemetrie, kunnen gebruikers die niet zijn ingelogd op Google-accounts — of die browsers gebruiken die Google-cookies blokkeren — lagere scores krijgen dan hun gedrag anders zou rechtvaardigen, wat mogelijk vals-positieven triggert voor legitieme kiezers.
