reCAPTCHA is een dienst van Google die echte bezoekers scheidt van automatische bots, meestal op formulieren, aanmeldpagina’s en inlogschermen. Het doet een snelle check, soms zichtbaar zoals een vinkje aanklikken of verkeerslichten aanwijzen, en soms onzichtbaar puur op basis van hoe de bezoeker zich gedraagt. Het doel: mensen doorlaten en scripts tegenhouden die je site spammen of aanvallen.
Zie het als een uitsmijter bij de deur van een club die het verschil ziet tussen een echte gast en iemand met een nep-ID. Die uitsmijter houdt niet iedereen tegen; de duidelijke gasten wuift hij door en alleen wie verdacht oogt trekt hij apart. Zo speelt reCAPTCHA die rol voor je website, vaak zonder dat de bezoeker er iets van merkt.
In de praktijk geeft v3 een score tussen 0 en 1. Je site leest die score op de server en bepaalt zelf wat er gebeurt: een hoge score stil doorlaten, een lage score laten bevestigen, of in alle rust markeren voor controle. Dus jij stelt de grens in, niet Google. Die controle telt, want een te strenge grens blokkeert echte klanten die toevallig snel typen of een VPN gebruiken. Het is dan ook slim om de score een tijdje mee te loggen voordat je hard blokkeert, zodat je ziet waar je echte verkeer ongeveer zit.
Het is één laag verdediging, niet de hele muur. reCAPTCHA combineert goed met stillere trucs zoals een honeypot-veld en met rate limiting dat begrenst hoe vaak één bron een formulier mag bestoken. Samen verminderen ze spaminzendingen en pogingen om met gestolen wachtwoorden in te loggen flink.
Bij TopDevs zetten we reCAPTCHA op publieke formulieren als botverkeer een echt risico is, maar we stellen het zo in dat echte klanten bijna nooit een puzzel zien en je conversie intact blijft.