Google reCaptcha is een veelgebruikte Captcha-oplossing die websites helpt om spam en geautomatiseerd misbruik te beperken. In plaats van alleen zichtbare opdrachten te tonen, analyseert reCaptcha ook het gedrag van bezoekers om te bepalen of een actie waarschijnlijk door een mens of een bot wordt uitgevoerd.
Hierdoor kan in veel gevallen spam worden tegengehouden zonder dat echte bezoekers extra handelingen hoeven uit te voeren.
reCaptcha controleert een combinatie van signalen om te bepalen of een bezoeker betrouwbaar is. Dit gebeurt onder andere op basis van:
Interacties op de pagina, zoals muisbewegingen en klikgedrag
Het tijdstip en tempo waarin formulieren worden ingevuld
Technische kenmerken van de browser en verbinding
Op basis hiervan bepaalt reCaptcha of een bezoeker als mens wordt gezien. Alleen wanneer er twijfel is, kan een extra controle worden getoond, zoals het selecteren van afbeeldingen.
Google biedt meerdere varianten van reCaptcha aan. De twee meest gebruikte zijn:
reCaptcha v2 – De bekende “Ik ben geen robot”-controle, soms gevolgd door een visuele opdracht
reCaptcha v3 – Werkt volledig op de achtergrond en kent een risicoscore toe aan bezoekers
Bij reCaptcha v3 wordt geen zichtbare uitdaging getoond. De website bepaalt zelf wat er gebeurt wanneer een bezoeker als risicovol wordt aangemerkt.
Om Google reCaptcha te kunnen gebruiken, is een koppeling met Google vereist. Hiervoor heb je het volgende nodig:
Een Google-account
De domeinnaam waarop reCaptcha wordt gebruikt
Een reCaptcha-sitekey
Een geheime sleutel (secret key)
Deze sleutels worden gebruikt om de communicatie tussen je website en Google reCaptcha te beveiligen.
Bij het aanmaken van een reCaptcha-configuratie ontvang je twee unieke sleutels:
Site key – Wordt gebruikt aan de voorkant van de website en is zichtbaar voor bezoekers
Secret key – Wordt aan de serverzijde gebruikt en moet geheim blijven
Samen zorgen deze sleutels ervoor dat Google kan controleren of verzoeken legitiem zijn en afkomstig zijn van jouw website.
Omdat reCaptcha een dienst van Google is, worden er gegevens verwerkt door een externe partij. Dit kan gevolgen hebben voor privacy en regelgeving. Het is daarom belangrijk om bezoekers hierover correct te informeren, bijvoorbeeld via een privacyverklaring.
Daarnaast kan een te strenge instelling leiden tot het blokkeren van echte bezoekers. Het is belangrijk om een balans te vinden tussen beveiliging en gebruiksgemak.
Naast Google reCaptcha bestaan er ook andere vormen van botbescherming die niet op formulierniveau werken, maar op netwerk- of beveiligingsniveau. In het volgende artikel wordt uitgelegd hoe Captcha en challenges via Cloudflare werken.