ReCAPTCHA v2 vs. v3: En hurtig og enkel breakdown til valg af den rigtige løsning

Af Michael Sønderup Nielsen
Kategori: Joomla Sikkerhed
Opdateret 5. januar 2023

ReCAPTCHA v2 vs. v3

Hvis du nogensinde har oplevet, at du gentagne gange har kæmpet med at indtaste den korrekte kombination af bogstaver og tal i en ReCAPTCHA-formular, er du ikke alene. Men bare rolig - med de rigtige oplysninger ved hånden er det nemt at vælge mellem ReCAPTCHA v2 og v3.

  1. Hvad kan reCAPTCHA v3 gøre for sikkerheden på din hjemmeside?
  2. Hvad er reCAPTCHA?
  3. Fordele og ulemper ved ReCAPTCHA v2: Bot-forsvar vs. menneskelig frustration
  4. ReCAPTCHA v3: En bekvem løsning for mennesker, men hvad med administratorer?
    1. ReCAPTCHA V3 Fordele:
    2. ReCAPTCHA V3 Ulemper:
  5. Hvordan fungerer Google reCAPTCHA v3?
    1. Kortlægning af ReCAPTCHA v3-brugerresultater til handlinger
    2. Ingen feedback loop
    3. Detektionskvalitet
  6. Hvordan afbalancerer ReCAPTCHA sikkerhed og overholdelse af privatlivets fred?
  7. Kan robotter omgå reCAPTCHA?
  8. Det mest effektive alternativ til ReCAPTCHA til at stoppe bots
  9. Afslutning
  10. Ofte stillede spørgsmål
    1. Hvad er forskellen mellem reCAPTCHA v2 og v3?
    2. Er reCAPTCHA v3 bedre end v2?
    3. Stopper reCAPTCHA robotter?
    4. Kan reCAPTCHA hackes?
    5. Hvad kan jeg bruge i stedet for reCAPTCHA?
    6. Er hCaptcha bedre end reCAPTCHA?

Googles ambition med deres reCAPTCHA v3 er at forhindre bot-trafik til din hjemmeside uden den besværlighed, som vi alle nok forbinder med v2. Men kan reCAPTCHA v3 noget?

Hvad kan reCAPTCHA v3 gøre for sikkerheden på din hjemmeside?

I dette blogindlæg giver jeg dig en hurtig og enkel gennemgang over hver version, så du kan træffe en informeret beslutning. Lad os komme i gang!

  • ReCAPTCHA v2 er en CAPTCHA-formular, der kræver, at du vælger billeder, der matcher de ønskede kriterier.
  • ReCAPTCHA v3 er en formular, der kræver, at du vælger billeder, der matcher de ønskede kriterier, samt vurderer den samlede oplevelse.

recaptcha v2

Hvad er reCAPTCHA?

ReCAPTCHA er en populær spamsikring, der bruges af millioner af hjemmeside over hele verden til at kontrollere, at deres besøgende er mennesker og ikke spam-bots.

ReCAPTCHA giver en autentificeringsteknik for mennesker og forhindrer samtidig robotter i at spamme hjemmesider, få adgang til fortrolige oplysninger og udføre ondsindede aktiviteter. Det er et ekstra lag af sikkerhed for hjemmesider, især dem, der kræver brugerlogins eller håndterer følsomme oplysninger.

Den mest populære version af reCAPTCHA er v2, som har været anvendt i mange år. Men denne version har vist sig at være sårbar over for avancerede AI-baserede botangreb - den samme type bedragerier, som blev udført med succes i slutningen af 2019 og begyndelsen af 2020 af sofistikerede robotter, der håbede på at drage fordel af Black Friday-tilbud eller tage kontrol over brugerkonti.

For at afhjælpe dette teknologiske hul har Google frigivet reCAPTCHA v3, som er baseret på en række sofistikerede risikoanalyseteknikker til at registrere, om besøgende er rigtige mennesker eller skadelig software (bots).

I forhold til den tidligere version fokuserer v3 på JavaScript og analyserer brugernes adfærd under deres interaktion med en hjemmeside for at give dem en score, der definerer, hvor troværdige de er.

ReCAPTCHA v3 adskiller sig væsentligt fra v2 med hensyn til funktionalitet, da den fungerer i baggrunden og ikke afbryder brugerne, mens de har adgang til en hjemmesides formular.

Der er to klare fordele ved at anvende v3 frem for v2:

  1. Den kræver ingen handling fra brugerne på dine hjemmesider (f.eks. at de skal løse gåder eller afkrydse afkrydsningsfelter), før de får lov til f.eks. at skrive til dig i din kontaktformular.
  2. Det reducerer yderligere forstyrrelsen hos de besøgende, samtidig med at der stadig er sikker beskyttelse mod spamrobotter.

Fordele og ulemper ved ReCAPTCHA v2: Bot-forsvar vs. menneskelig frustration

ReCAPTCHA v2, også kendt som "Jeg er ikke en robot", er den traditionelle version af ReCAPTCHA, der anvendes mest af hjemmesider til at beskytte deres formularer mod spammere og robotter.

Den kræver typisk, at en bruger skal klikke på en afkrydsningsboks for at bevise, at han/hun er et menneske. Brugeren skal derefter "løse" en udfordring, f.eks. vælge alle billeder, der indeholder busser eller trafiklys.

ReCAPTCHA v2 er effektiv til at blokere nogle former for bot- og automatiserede spam-angreb, men ikke alle. Den er afhængig af AI-modeller til at løse ReCAPTCHA-udfordringer, som nemt kan snydes med smart designede computerprogrammer. Desuden betyder udbredelsen af key-captcha-farme, at ondsindede aktører har konstant adgang til captchas, der er lette at løse, hvilket kan gøre ReCAPTCHA v2 stort set ineffektivt.

ReCAPTCHA v3 forbedrer drastisk bot-detektion og reducerer samtidig brugernes frustration ved at køre kontinuerligt i baggrunden uden brugerinteraktion. I stedet for implicit at stole på hver enkelt indsendelse af formularer scorer den hver enkelt indsendelse som lav risiko, middel risiko eller høj risiko baseret på kontekst- og indholdsanalyse. Denne nye tilgang betyder, at sikringen hurtigt kan identificere mistænkelig aktivitet og blokere den. Desuden er re-captcha v3 bedre til at registrerer trafik, der måske bruger captcha-farm-tricks som hurtige klik, automatisk udfyldelse af felter osv., alt sammen uden at genere brugeren med ”captchaer”.

ReCAPTCHA v3: En bekvem løsning for mennesker, men hvad med administratorer?

ReCAPTCHA v3 fra Google er en praktisk løsning for besøgende på hjemmesiden, da den er praktisk talt usynlig, så de kan bruge hjemmesiden uden at bruge tid på komplicerede verifikationsprocesser.

Den fungerer ved at overvåge brugeradfærd for at skelne mennesker fra bots og kan endda give indsigt i ondsindet aktivitet på din hjemmeside. Men hvad med administratorer? Er det også bekvemt for admins?

Mens ReCAPTCHA v3 tilbyder en utrolig bred vifte af sikkerhedsfunktioner og et højt niveau af beskyttelse mod falske input, er der nogle spørgsmål vedrørende privatlivets fred, som skal overvejes, når du vælger denne mulighed frem for ReCAPTCHA v2.

Først og fremmest skal det bemærkes, at Google med ReCAPTCHA v3 indsamler langt flere data end nogensinde før. Dette omfatter at det er Google, der bestemmer din brugers placering og ”browsing-vaner” - noget, der har givet visse brugere stigende utryghed. Derudover skal enhver hjemmeside, der anvender ReCAPTCHA v3, overholde den gældende Google-politik om beskyttelse af personlige oplysninger for at overholde gældende love og bestemmelser om databeskyttelse.

At vælge mellem Recaptcha V2 vs V3 er i virkeligheden et spørgsmål om at forstå både fordele og ulemper ved hver enkelt mulighed samt at afveje, hvilke funktioner der er de største bekymringer for din hjemmeside eller din branche. I sidste ende er det vigtigste dog ikke kun at beskytte dine brugeres data, men også deres oplevelse, når de bruger din hjemmeside - så det kan gøre hele forskellen at vælge den rigtige løsning!

ReCAPTCHA V3 Fordele:

  • Bred vifte af sikkerhedsfunktioner
  • Høj grad af beskyttelse mod falske indtastninger

ReCAPTCHA V3 Ulemper:

  • Google indsamler flere data end nogensinde før
  • Skal overholde Googles privatlivspolitik

Hvordan fungerer Google reCAPTCHA v3?

For hver forespørgsel fra besøgende returnerer reCAPTCHA v3 en score på mellem 0 og 1 for at angive sandsynligheden for, at forespørgslen stammer fra en bot. Hvis scoren er tæt på 0, er det sandsynligvis en bot, og hvis den er tæt på 1, er det mere sandsynligt, at det er et menneske.

Som i v2 er der større sandsynlighed for, at brugere, der er logget ind på deres Google-konti og/eller bruger Chrome, har en score tæt på 1.
For at forbedre scorens nøjagtighed kan du selv definere specifikke handlinger, f.eks. "sende en anmodning om venskab" eller "gå til hjemmesiden", så reCAPTCHA'en bedre forstår, hvordan normal brugeradfærd varierer afhængigt af konteksten. Mens reCAPTCHA v3 klart forbedrer oplevelsen for menneskelige brugere ved at fjerne behovet for at afbryde deres browsing med reCAPTCHA-opgaver, giver det stadig anledning til bekymring for privatlivets fred og skaber problemer for hjemmeside-administratorer.

Med reCAPTCHA v2 behøver administratorer kun at kontrollere, om brugeren har løst udfordringen korrekt eller ej. Med reCAPTCHA v3 skal administratorer beslutte, hvilken handling de skal foretage afhængigt af brugerens score. Det er en vanskelig opgave for selv den mest erfarne webmaster at få denne konfiguration til at fungere korrekt.

Kortlægning af ReCAPTCHA v3-brugerresultater til handlinger

For hver handling, som en bruger foretager på din hjemmeside, har du tre muligheder:

  • Giv brugeren adgang til den ønskede ressource.
  • Bed brugeren om at løse en reCAPTCHA-opgave for at fastslå, om han/hun er et menneske.
  • Bloker brugeren.

Det betyder, at du for hver handling skal beslutte, hvor du vil placere tærsklen for et bestemt svar. Vil du blokere brugeren, når deres score falder under 0,25, eller vil du give dem en reCAPTCHA? Hvad med 0,15? Vil du blokere dem helt og holdent, eller virker 0,10 mere passende? Hvad sker der, hvis en bruger ikke løser en reCAPTCHA-opgave korrekt? Der er ingen entydige svar, hvilket er det, der gør disse spørgsmål så vanskelige.

Jo strengere du gør dine tærskelværdier, jo større er sandsynligheden for, at du blokerer de faktiske brugere. Det modsatte er også sandt: jo løsere dine tærskler er, jo større er sandsynligheden for, at du lader robotter blive uopdaget. Med reCAPTCHA v3 skal du indgå et ubehageligt kompromis mellem ikke at blokere for mange brugere og ikke tillade for mange bots.

Ingen feedback loop

reCAPTCHA v3-dashboardet viser en fordeling af brugernes score for hver konfigureret handling på din hjemmeside. Men det er ikke nok til at hjælpe dig med at vurdere, om du har indstillet de rigtige tærskler, fordi der ikke er andre oplysninger, der hjælper dig med at forstå de brugere, du har blokeret eller ladet igennem. Der er ingen mulighed for at se på eventuelle falske positive eller negative resultater.

Det er vigtigt at overveje, at internettet er langt mere mangfoldigt, end vi ofte forestiller os. Selvfølgelig surfer størstedelen af dine legitime brugere måske på internettet med Chrome, Edge eller Safari, men hvad med de ~8 % af de mennesker, der ikke gør det? Deres brugerscore vil være betydeligt lavere. Ønsker du virkelig at gøre deres liv sværere med et reCAPTCHA eller ved at blokere dem helt?

At indstille blokeringstærskler for blokering og godkendelse uden en ordentlig overvågningsmekanisme er som at spille russisk roulette med trafikken på din hjemmeside. Indsamling, lagring og analyse af data nok til at indstille dine tærskler præcist kræver dyb viden om botdetektion.

Detektionskvalitet

ReCAPTCHA v3 anvender adfærdsdetektion til at forudsige, om en given anmodning stammer fra et menneske eller ej. Mens adfærdsdetektion er yderst nyttigt til at opdage avancerede bots, kræver det enorme datamængder at lære at skelne bots fra mennesker nøjagtigt.

For at kunne træffe en præcis beslutning har reCAPTCHA v3 brug for data - den har brug for, at en bruger interagerer med din hjemmeside i et stykke tid. Med reCAPTCHA alene er din hjemmeside sårbar over for distribuerede crawlere i stor skala, der roterer gennem flere IP-adresser.

Hvordan afbalancerer ReCAPTCHA sikkerhed og overholdelse af privatlivets fred?

Når du skal vælge en ReCAPTCHA-løsning, der passer bedst til din hjemmeside, er det vigtigt at forstå, hvordan ReCAPTCHA balancerer sikkerhed og overholdelse af privatlivets fred.

ReCAPTCHA v2 fokuserer på indsamling af data som IP-adresse, cookies og den besøgendes operativsystem ved at tjekke browsersignaler (f.eks. plugins, sprogindstillinger). Dette faktum har ført til problemer med overholdelse af den generelle forordning om databeskyttelse (GDPR), da det indebærer indsamling af personoplysninger fra slutbrugere uden samtykke.

ReCAPTCHA v3 indsamler ikke følsomme data ved at indsamle oplysninger om brugernes adfærd gennem forskellige tjekpunkter som f.eks. musebevægelser eller skrivehastighed.

Dette er med til at reducere fejlprocenten blandt autentificerede brugere, samtidig med at det sikrer, at anmodninger om brugergodkendelse behandles ret hurtigt uden at afsløre oplysninger om slutbrugeren.

ReCAPTCHA giver et omfattende sæt værktøjer til identifikation af ondsindede aktiviteter på hjemmesider for at holde dem sikre og i overensstemmelse med GDPR-kravene uden at gå på kompromis med slutbrugeroplevelsen eller integriteten af privatlivets fred.
Mens hver version tilbyder sine egne unikke fordele, finder begge løsninger den ideelle balance mellem sikkerhedsforanstaltninger og beskyttelse af brugernes privatlivets fred, der sikrer de nødvendige niveauer af sikkerhed og kontrol over f.eks. kundedata.

Kan robotter omgå reCAPTCHA?

Det korte svar er "ja".

Bots og automatiserede scripts kan ofte omgå reCAPTCHA v2, hvilket fører til en stigning i falske positive og negative resultater. Dette omfatter brugen af captcha-farme, som sælger adgang til automatiserede løsninger, der kan omgå reCAPTCHA v2.

Derfor introducerede Google reCAPTCHA v3 - en løsning, der sætter brugernes sikkerhed i første række ved ikke at vise opgaver, som brugeren skal løse, før det er nødvendigt. I stedet giver reCAPTCHA v3 en brugervenlig API til hjemmesider, der kan opdage misbrug i realtid.
Det gør den ved at returnere en score (fra 0-1), der angiver sandsynligheden for, at aktiviteten er, kommer fra en ondsindet bot eller en misbrugende bruger.

ReCAPTCHA er i stand til at opnå høj nøjagtighed uden brug af visuelle opgaver, der skal løses, fordi den bruger maskinlæring og avanceret risikoanalyse til at afgøre, om der skal gribes ind over for bots eller andre ondsindede besøgende, før de gør skade på din hjemmeside.

Fordelen ved at bruge reCAPTCHA v3 i forhold til sine forgængere er, at administratorer ikke længere behøver at være bekymrede for falske positive og negative resultater, der ledsager CAPTCHA'er, som med succes omgås af ondsindede systemer. Som sådan kan man argumentere for, at en af de største fordele ved at bruge reCAPTCHA v3 er sikkerheden for både brugere og administratorer, da konti ikke længere vil være sårbare, når det kommer til bots, der forsøger at logge ind eller andre typer angreb på hjemmesiden.

I sidste ende er Googles reCAPTCHA'er nødvendige for at forhindre spam og forhindre robotter i at udføre ondsindede aktiviteter på hjemmesider - så det er afgørende at beslutte, hvilken version der passer bedst til de individuelle behov, hvis man skal yde tilstrækkelig beskyttelse mod misbrug på nettet.

Det mest effektive alternativ til ReCAPTCHA til at stoppe bots

I årevis har den mest populære implementering af CAPTCHA været version 2 fra Google. Dette værktøj, der blot er kendt som ReCAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), blev skabt for at skelne mellem gode og dårlige besøgende på hjemmesider.

Tiden går, og CAPTCHA-baserede løsninger er blevet forældet af nyere teknologi såsom AI-baserede detektionsmetoder. Efterhånden som angrebene bliver mere sofistikerede med tiden, vender virksomhederne sig mod mere effektive alternativer til at stoppe bots.

Et sådant alternativ er dynamiske captcha-farme. Denne metode bruger en tærskel for blokering/tilladelse, der er baseret på reelle brugerdata og feedback-loops. Det betyder, at det bliver sværere for bots at løse opgaver korrekt, hver gang de gætter forkert. Over tid sikrer dette, at blokering konsekvent justeres i henhold til realtidsdatapunkter, så brugeroplevelsen opretholdes, selv når der forsøges sofistikerede angreb.

Denne type løsning kan også selv tilpasse sig til forskellige typer angreb, f.eks. gætte forespørgsler fra kendte botnet-IP'er eller ved hjælp af avancerede bots, der er drevet af værktøjer med kunstig intelligens som Hidden Markov Models (HMM). Dens feedback-loops kan give værdifuld indsigt for softwareingeniører og udviklere, så de kan tilpasse traditionelle metoder i overensstemmelse hermed efter at have modtaget tilstrækkelige signaler om ondsindede anmodninger fra trafik på hjemmesiden.

Når du vælger en captcha-løsning, skal du sørge for, at den tager højde for de mange forskellige angrebsprofiler, der findes i dag, for at beskytte dig ordentligt mod bots og andre ondsindede trafik, der opererer online. Overvej at implementere en alternativ tilgang som dynamiske captcha-farme, der baserer tærskler på data om brugeradfærd - denne metode kan forblive yderst effektiv og samtidig bevare brugeroplevelsen til enhver tid.

Afslutning

Mens reCAPTCHA v2 og v3 kan hjælpe med at blokere noget bot-trafik, kan de ikke stoppe avancerede hacker-bots, scraper-bots, DDoS -angreb osv. Ingen af versionerne af reCAPTCHA bør derfor betragtes som en egentlig botstyringsløsning, da både ReCAPTCHA v2 og v3:

  • Forringer brugeroplevelsen.
  • Kan føre til mange falske positive og falske negative resultater.
  • Mangler at være i overensstemmelse med GDPR.
  • Udnytter dine brugeres data til organisationers reklameformål.
  • Omgås nemt med CAPTCHA-farme og avancerede bots.
  • Giver ingen reelle feedback-mekanismer (bestået/ikke bestået er ikke nok information til at forbedre din sikkerhed)

Nu hvor jeg har sammenlignet fordele og ulemper ved ReCAPTCHA v2 og v3, kan du overveje, hvilken løsning der passer bedst til dig.

Afhængigt af de specifikke behov på din hjemmeside kan begge versioner give en effektiv løsning til beskyttelse mod bots. Hvis brugeroplevelsen er meget vigtig for dig, er ReCAPTCHA v2 måske bedre, da det giver minimal indblanding i brugerflowet uden returnering af score.

På den anden side, hvis beskyttelse mod spamtrafik er vigtigere end brugeroplevelsen, så er ReCAPTCHA v3 måske bedre. Den score, der returneres af denne version, kan give større fleksibilitet i forbindelse med identifikation af mistænkelig trafik, og den kræver også en minimal indsats fra den besøgendes side.


Ofte stillede spørgsmål

Hvad er forskellen mellem reCAPTCHA v2 og v3?

ReCAPTCHA v2 kræver, at brugeren skal klikke på afkrydsningsfeltet "Jeg er ikke en robot" og kan give brugeren en billedgenkendelsesudfordring. ReCAPTCHA v3 kører i baggrunden og genererer en score baseret på en brugers adfærd. Jo højere scoren er, jo mere sandsynligt er det, at brugeren er et menneske. En webmaster skal beslutte (og programmere), om han/hun vil blokere, udfordre eller ikke gøre noget, når en brugers score falder under en bestemt tærskelværdi.

Er reCAPTCHA v3 bedre end v2?

Ingen af dem er gode til at blokere bots. Mens reCAPTCHA v3 er mindre indgribende end v2 for en bruger, lægger det en betydelig byrde på webmasteren at afgøre, hvornår brugere skal lukkes igennem, og hvornår de skal blokeres eller udfordres. Der er ikke noget rigtigt svar på dette.

Stopper reCAPTCHA robotter?

ReCAPTCHA blokerer måske de simpleste bots, men det giver en frustrerende brugeroplevelse, og det fungerer ikke som tilstrækkelig beskyttelse mod de sikkerhedstrusler, der plager virksomheder i dag. Til det har du brug for en løsning til beskyttelse af robotter.

Kan reCAPTCHA hackes?

Et reCAPTCHA bliver ikke så meget hacket som det bliver omgået. ReCAPTCHA-farme og avancerede robotter kan nemt omgå både reCAPTCHA v2 og v3, fordi førstnævnte bruger mennesker til at løse CAPTCHA'er, og sidstnævnte er snedige nok til at virke så menneskelige, at reCAPTCHA aldrig får mistanke om noget.

Hvad kan jeg bruge i stedet for reCAPTCHA?

En avanceret botbeskyttelsesløsning er en af de få måder, hvorpå du kan beskytte dig selv fuldt ud mod nutidens sikkerhedstrusler. Den rigtige løsning blokerer de mest avancerede bots og beskytter dine hjemmeside mod trusler som kontoovertagelse, fyldning af legitimationsoplysninger, webscraping og meget mere.

Er hCaptcha bedre end reCAPTCHA?

HCaptcha lider af nogle af de nøjagtigt samme problemer som reCAPTCHA. Det forringer stadig brugeroplevelsen og beskytter dig ikke tilstrækkeligt mod CAPTCHA-farme og avancerede robotter. Enhver CAPTCHA der bruges som første forsvarslinje, vil resultere i utilstrækkelig beskyttelse af botter og en negativ brugeroplevelse.

Ligesom reCAPTCHA er hCaptcha ikke særlig tilgængelig for personer med handicap, f.eks. synshandicappede brugere. Især på det gratis niveau kræver hCaptcha, at hver bruger skal løse et puslespil manuelt.

Joomlakonsulenten støtter den grønne omstilling
Joomlakonsulenten støtter miljøvenlig pakning
Joomlakonsulenten støtter et sundt arbejdsmiljø
Joomlakonsulenten siger Nej Tak Til Plastik
Joomlakonsulenten støtter sikker browsing
Joomlakonsulentens CSR-profil