Een CAPTCHA is een kleine test op een webpagina die is bedoeld om mensen en bots uit elkaar te houden. De naam staat voor een lange mondvol over het onderscheiden van computers en mensen, maar de taak is simpel: echte mensen doorlaten en de automatische scripts blokkeren die een formulier willen misbruiken.

Je kent de klassieke versie wel: klik alle vakjes met verkeerslichten aan, of lees wat kronkelige letters. De puzzel is met opzet makkelijk voor een mens en lastig voor een machine. Sites doen die moeite omdat bots anders een aanmeldformulier kunnen platleggen om duizenden nepaccounts te maken, spam te plaatsen of gestolen wachtwoorden tegen je login los te laten. Een CAPTCHA is daar een goedkope drempel tegen, en werkt goed samen met rate limiting om aanvallers verder af te remmen.

Moderne versies zijn veel minder vervelend. Googles reCAPTCHA kijkt bijvoorbeeld hoe je beweegt en klikt en blijft onzichtbaar tenzij iets niet klopt. Cloudflares Turnstile pakt het op een vergelijkbare manier aan, zonder de verkeerslichtpuzzels. Sommige sites slaan de zichtbare puzzel helemaal over en gebruiken in plaats daarvan een verborgen valstrikveld, een honeypot, dat bots vangt die velden invullen die een mens nooit ziet.

Een CAPTCHA is alleen geen muur. Goedkope oploosdiensten en betere beeldmodellen betekenen dat een vastberaden aanvaller er soms langs komt, dus hij werkt het best als één laag tussen meerdere. En er hangt een prijs aan: elke extra test voegt wrijving toe, en een agressieve opzet jaagt stilletjes echte gebruikers weg. De kunst is om hem alleen te tonen waar misbruik echt gebeurt.

Bij TopDevs voegen we botbescherming toe waar het echt telt, zoals openbare formulieren en aanmeldingen, terwijl de ervaring soepel blijft voor de echte bezoekers die je wilt houden.