Definition
reCAPTCHA v3 är den tredje större iterationen av Googles CAPTCHA-tjänst, släppt i oktober 2018. Till skillnad från sina föregångare — som bad användare att markera en ruta eller lösa bildpussel — är v3 helt passiv. Den körs tyst i webbläsarbakgrunden, observerar användarinteraktioner över hela sidan och producerar en numerisk riskpoäng som webbplatsägaren använder för att avgöra hur sessionen ska hanteras. En poäng på 1,0 representerar hög tilltro till att besökaren är människa; en poäng på 0,0 indikerar nästan säker automatiserad trafik.
Systemet bygger på reCAPTCHA v2:s infrastruktur men tar bort friktionen från explicita användarutmaningar. Googles uttalade mål var att helt eliminera “Jag är inte en robot”-interaktionen för den stora majoriteten av legitima användare, minska kundvagnsavbrott och formulärbortfall samtidigt som bot-detekteringstäckningen bibehålls eller förbättras.
Hur reCAPTCHA v3 fungerar
reCAPTCHA v3 fungerar genom ett JavaScript-bibliotek som laddas från https://www.google.com/recaptcha/api.js. När det är laddat börjar det passivt samla in ett beteendefingertryck för den aktuella sessionen. De insamlade signalerna inkluderar musrörelsebanor, rullbeteende, tidsmönster mellan tangenttryckningar, sekvensen av DOM-interaktioner, ålder och aktivitet på Google-kontocookien i webbläsaren (om sådan finns) samt nätverkskaraktäristik för den ursprungliga anslutningen.
När webbplatsägaren vill utvärdera en viss åtgärd — som en formulärinlämning eller ett klick på en röstknapp — anropar de grecaptcha.execute(siteKey, {action: 'vote'}). Detta utlöser Googles riskanalysinfrastruktur att beräkna en poäng för sessionen och returnera ett signerat token (en JSON Web Token) till webbläsaren. Token skickas sedan tillsammans med formulärdata.
På serversidan skickar den mottagande applikationen token till Googles verifieringsslutpunkt på https://www.google.com/recaptcha/api/siteverify, tillsammans med webbplatsens hemliga nyckel. Googles svar inkluderar den numeriska poängen, en tidsstämpel, åtgärdsnamnet och en värdnamnsbekräftelse. Applikationsutvecklaren ställer en tröskel — vanligen 0,5 — under vilken inlämningar blockeras, flaggas för ytterligare granskning eller skickas till en sekundär utmaning som reCAPTCHA v2.
reCAPTCHA Enterprise, den betalda nivån som är tillgänglig genom Google Cloud, utvidgar v3 med ytterligare signaler, poängförklaringar uppdelade efter bidragande faktorer, account defender-funktioner och Service Level Agreement-garantier.
Var du stöter på det
reCAPTCHA v3 är utrullad över ett brett utbud av webbegenskaper där friktionsfri verifiering är en prioritet. Tävlings- och sweepstakes-plattformar integrerar det vid röstinlämningsslutpunkten och kontoregistreringsformuläret. E-handelsplattformar använder det vid kassan för att förhindra credential-stuffing. Nyhetspublikationer använder det på kommentarinlämningsslutpunkter. Finansiella tjänsteföretag tillämpar det på lösenordsåterställnings- och pengaöverföringsflöden. Biljettförsäljningsplattformar använder det för att bromsa scalper-bots under högefterfrågan-försäljningsstarter.
Eftersom v3 är osynlig är dess närvaro på en sida inte uppenbar för slumpmässiga användare — endast utvecklare som undersöker sidans källa eller övervakar nätverkstrafik kommer att lägga märke till recaptcha-API-anropen.
Praktiska exempel
En regional fototävling som hostas på en anpassad mikrosajt integrerar reCAPTCHA v3 vid sin röstslutpunkt. Varje röstinlämning utlöser ett grecaptcha.execute-anrop. Inlämningar som poängsätts under 0,3 kasseras tyst; inlämningar mellan 0,3 och 0,5 loggas för batchgranskning vid tävlingens slut; inlämningar över 0,5 registreras omedelbart. Tävlingsoperatören granskar de hållna inlämningarna och diskvalificerar de som delar enhetsfingertryck eller härstammar från koncentrerade IP-intervall.
En nationell ideell organisation kör en bidragstävling där offentliga röster avgör en del av finansieringsfördelningen. Plattformen använder reCAPTCHA v3 i kombination med e-postbekräftelse. CAPTCHA-poängen lagras med varje röstpost och låter administratören re-tröskla data efter tävlingens stängning — vilket effektivt justerar bot-avvisningskänsligheten retroaktivt baserat på den observerade poängfördelningen.
Ett universitets studentprispogram driftsätter reCAPTCHA Enterprise för att dra nytta av poängförklaringar. Granskningsloggen visar att en topp av lågscorande röster på en nominationspost härstammade från ett enda subnät, och postens röstantal justeras därefter innan vinnare tillkännages.
Relaterade begrepp
reCAPTCHA v3 sitter vid sidan av tidigare CAPTCHA-generationer i samma detekteringsekosystem. Basposten på reCAPTCHA täcker v1- och v2-mekanik i detalj. hCaptcha och Cloudflare Turnstile är konkurrerande system som erbjuder olika avvägningar kring integritet, utmaningstyp och leverantörsberoende. Beteendebiometri beskriver den bredare kategorin av passiv interaktionsmätning som ligger till grund för reCAPTCHA v3:s poängsättningstillvägagångssätt.
Begränsningar / förbehåll
reCAPTCHA v3 delegerar risktröskelbeslutet helt till webbplatsoperatören, vilket skapar inkonsekvens mellan utrullningar. En webbplats som ställer in sin tröskel på 0,3 accepterar betydligt mer bot-trafik än en som är inställd på 0,7. Google publicerar inte de specifika signalerna eller vikterna bakom poängen, vilket gör oberoende revision omöjlig. Dessutom, eftersom systemet delvis förlitar sig på Google-konto-telemetri, kan användare som inte är inloggade på Google-konton — eller som använder webbläsare som blockerar Google-cookies — få lägre poäng än deras beteende annars skulle motivera och potentiellt utlösa falska positiva för legitima väljare.
