reCAPTCHA

reCAPTCHA is een beveiligingstool van Google gebaseerd op CAPTCHA (“Completely Automated Public Turing test to tell Computers and Humans Apart”). Het doel van deze tool? Controleren of een actie door een mens of door een bot wordt uitgevoerd.

Voorheen was een reCAPTCHA check altijd zichtbaar voor gebruikers. Denk bijvoorbeeld aan de verhaspelde tekst (afbeelding met vervormde letters en cijfers) die je moest overtypen in een veld om verder te kunnen gaan. Tegenwoordig zie je vaak een afbeelding met een vraag om iets te doen, zoals ‘Klik op alle vakjes met verkeerslichten’ of een pop-up met de tekst ‘Ik ben geen robot’, waarbij je het vakje aan moet vinken.

Google gebruikt gedragsanalyse, zoals muisbewegingen, scrollen en klikken, om te bepalen of je een mens of een robot bent. Waar de oudere versie van reCAPTCHA altijd een controle uitvoert (zoals het eerder genoemde voorbeeld met stoplichten), analyseert de nieuwste versie het gedrag van de websitebezoeker op de achtergrond. Op basis van deze analyse wijst het een score toe van 0.0 tot 1.0, waarbij 0.0 de laagste en 1.0 de hoogste betrouwbaarheidsgraad is. Een websitebeheerder bepaalt zelf wat er met die score gebeurt.

Bijvoorbeeld:

• Scoort de gebruiker onder 0.3? Dan wordt toegang geblokkeerd of toont reCAPTCHA een extra check;
• Scoort de gebruiker tussen 0.3 en 0.6? Dan worden formulieren alleen geaccepteerd als er een e-mailadres is ingevuld;
• Is de score boven de 0.7? Dan is er geen reden om aan te nemen dat het om een bot gaat en wordt directe toegang verleend.

reCAPTCHA kun je dus zien als een manier waarop websitebeheerders slim en flexibel onderscheid kunnen maken tussen 'betrouwbaar' en ‘verdacht’ gedrag. Zonder daarbij gebruikers lastig te vallen als het niet nodig is.

• Effectieve bescherming tegen bots: voorkomt spam, nepregistraties en overbelastingsaanvallen (DDoS-aanvallen);
• Het gebruik ervan is gratis: voor sites tot miljoenen verzoeken per maand; 
• Optimale gebruikerservaring: vooral reCAPTCHA v3 stoort gebruikers niet;
• Aanpasbaar voor hogere zekerheid: beheer je eigen score-drempels en voeg eventueel extra beveiligingsvragen toe.
  

• Het gebruik van reCAPTCHA Kan leiden tot privacy zorgen onder websitebezoekers: gedragsanalyse en trackingcookies kunnen persoonlijke data verzamelen;
• Toegankelijkheidsissue: de oudere reCAPTCHA beveiligingschecks zijn niet gebruiksvriendelijk voor alle doelgroepen (bijvoorbeeld slechtzienden);
• Bots worden slimmer: geavanceerde bots kunnen sommige tests omzeilen, waar een vals gevoel van veiligheid ontstaat.
  

Er bestaan twee hoofdversies van Google reCAPTCHA: v2 en v3. Beide helpen om een website te beschermen tegen spam en misbruik, maar ze werken op een verschillende manier. De ene vraagt om interactie van de gebruiker (zoals het aanklikken van verkeersborden), terwijl de ander volledig op de achtergrond draait.

Welke versie een websitebeheerder kiest, bepaalt niet alleen hoe goed de website beschermd is tegen bots, maar ook welke impact dit heeft op de gebruikservaring van bezoekers. Zeker als je een formulier, inlogsysteem of webshop beheert, is het slim om te weten welke optie het beste bij jouw situatie past. Kijk hiervoor in de onderstaande tabel.

Ben jij als websitebeheerder klaar om bots buiten de deur te houden? Met Google reCAPTCHA beveilig je je website in een paar simpele stappen. Je volgt hiervoor globaal de volgende stappen:

1. Ga naar de reCAPTCHA admin-console van Google en log in met je Google account;
2. Registreer je website door een label toe te voegen (bijvoorbeeld: ‘Mijn Website’);
3. Voeg het domein van je website toe;
4. Kies je versie (v2 checkbox, v2 invisible, v3 score-based);
5. Je ontvangt hierna een site key en een secret key. Voeg de site key toe in je HTML-widget en verwerk de secret key in de server-code voor verificatie;
6. Verifieer het verzoek door een server-side API-aanroep naar Google’s verificatieservice uit te voeren.Bepaal wat je doet met het resultaat (bijvoorbeeld check of de validatie geslaagd is bij v2, of configureer je drempelwaarde indien je v3 gebruikt).