reCAPTCHA v2 और v3: हर डेवलपर को जानना चाहिए मुख्य अंतर
Nikolai Smirnov
Software Development Lead
TL;DR
- reCAPTCHA v2 उपयोगकर्ता के लिए दृश्यमान पहेलियां (चेकबॉक्स या छवि ग्रिड) प्रस्तुत करता है; v3 पृष्ठभूमि में शांति से काम करता है और एक जोखिम स्कोर लौटाता है।
- reCAPTCHA v2 और v3 के बीच मुख्य अंतर उपयोगकर्ता घर्षण है: v2 उपयोगकर्ता प्रवाह को बाधित करता है, v3 नहीं।
- v3 स्कोर 0.0 (संभावित बॉट) से 1.0 (संभावित मानव) तक होता है — आपके सर्वर के द्वारा इस स्कोर के साथ क्या करना है यह निर्णय लिया जाता है।
- v2 को स्थापित करना और डीबग करना आसान है; v3 के लिए सर्वर-साइड स्कोर नियंत्रण और अवरोध समायोजन की आवश्यकता होती है।
- कोई भी संस्करण वैश्विक रूप से "बेहतर" नहीं है — सही चयन आपकी साइट के जोखिम स्वीकृति और UX आवश्यकताओं पर निर्भर करता है।
- दोनों संस्करणों के साथ कार्यक्रमों के साथ अंतर्क्रिया करने वाले स्वचालित कार्यप्रवाह अपने CAPTCHA चुनौतियों को प्रोग्रामेटिक रूप से हैंडल करने के लिए CapSolver के API का उपयोग कर सकते हैं।
परिचय
अगर आपने कभी एक वेब फॉर्म, लॉगिन पेज या चेकआउट प्रवाह बनाया है, तो आप लगभग निश्चित रूप से reCAPTCHA के साथ आए होंगे। Google के reCAPTCHA विश्व के सबसे अधिक उपयोग किए जाने वाले CAPTCHA प्रणाली हैं, जो लाखों साइटों को स्वचालित दुरुपयोग से सुरक्षित करते हैं। लेकिन reCAPTCHA v2 और v3 के बीच अंतर एक संस्करण संख्या से अधिक है — दोनों प्रणालियां मूल रूप से अलग सिद्धांतों पर काम करती हैं, अलग-अलग UX लक्ष्य पूरा करती हैं, और अलग अलग स्थापना रणनीतियों की आवश्यकता होती है।
इस लेख में हम आसान तकनीकी शब्दों में reCAPTCHA v2 के बजाय v3 के बीच अंतर को तोड़ते हैं: प्रत्येक संस्करण क्या करता है, इसके पीछे कैसे काम करता है, एक के बजाय दूसरे के उपयोग के समय, और दोनों के बारे में जानकारी के लिए डेवलपर्स को क्या समझना चाहिए।
reCAPTCHA क्या है? एक त्वरित पृष्ठभूमि
reCAPTCHA Google के एक मुफ्त सेवा है जिसका उपयोग मानव उपयोगकर्ताओं को स्वचालित बॉट से अलग करने के लिए किया जाता है। इसे मूल रूप से 2009 में कार्नेगी मेलॉन विश्वविद्यालय से अधिग्रहित किया गया था और तब से कई महत्वपूर्ण अपडेट हुए हैं।
गूगल के आधिकारिक reCAPTCHA दस्तावेज़ के अनुसार, वर्तमान में सक्रिय संस्करण v2 (दो उप-प्रकार के साथ) और v3 हैं, जिनमें प्रत्येक अलग-अलग सुरक्षा और उपयोगकर्ता अनुभव के बीच संतुलन के लिए डिज़ाइन किया गया है। चौथा स्तर — reCAPTCHA Enterprise — v3 पर आधारित है और अतिरिक्त जोखिम संकेतों के साथ बड़े पैमाने पर व्यावसायिक डेप्लॉयमेंट के लिए डिज़ाइन किया गया है।
reCAPTCHA v2 और v3 के बीच अंतर को समझना इस बात के समझ के साथ शुरू होता है कि प्रत्येक संस्करण किस समस्या को हल करने के लिए डिज़ाइन किया गया था।
reCAPTCHA v2: दृश्यमान चुनौतियां, सीधा सत्यापन
reCAPTCHA v2 वह संस्करण है जिसे अधिकांश उपयोगकर्ता पहचानते हैं। यह एक स्पष्ट चुनौती प्रस्तुत करता है जिसे फॉर्म जमा करने से पहले पूरा करना आवश्यक होता है।
reCAPTCHA v2 कैसे काम करता है
जब कोई उपयोगकर्ता reCAPTCHA v2 से सुरक्षित पृष्ठ पर आता है, तो विज़ार्ड लोड होता है और अप्रत्यक्ष संकेतों का विश्लेषण करता है — माउस गति, ब्राउज़िंग ऐतिहासिक डेटा, कुकीज। अगर प्रणाली उपयोगकर्ता के मानव होने के बारे में निश्चित है, तो वह उन्हें स्वचालित रूप से पारित कर सकता है। अगर नहीं, तो एक चुनौती प्रस्तुत करता है।
reCAPTCHA v2 के दो उप-प्रकार हैं:
1. चेकबॉक्स ("मैं एक रोबोट नहीं हूं")
उपयोगकर्ता चेकबॉक्स पर क्लिक करता है। अगर अप्रत्यक्ष संकेत पर्याप्त नहीं हैं, तो एक छवि ग्रिड चुनौती दिखाई देती है (जैसे "सभी ट्रैफिक लाइट्स का चयन करें")। यह reCAPTCHA v2 के सबसे पहचाने जाने वाले रूप के रूप में जाना जाता है।
2. अदृश्य reCAPTCHA v2
कोई चेकबॉक्स नहीं दिखाया जाता है। जब उपयोगकर्ता फॉर्म जमा करता है, तो चुनौती स्वचालित रूप से चलती है। अगर जोखिम स्कोर बहुत कम है, तो एक दृश्य चुनौती दिखाई देती है। इस रूप में घर्षण कम होता है लेकिन v2 चुनौती तकनीक बरकरार रहती है।
reCAPTCHA v2 मुख्य विशेषताएं
| गुण | reCAPTCHA v2 चेकबॉक्स | reCAPTCHA v2 अदृश्य |
|---|---|---|
| उपयोगकर्ता अंतरक्रिया | हमेशा दृश्यमान | केवल तब जब ट्रिगर किया जाता है |
| चुनौती प्रकार | छवि ग्रिड / ऑडियो | छवि ग्रिड / ऑडियो |
| टोकन वैधता | 2 मिनट | 2 मिनट |
| स्थापना की जटिलता | कम | मध्यम |
| UX घर्षण | उच्च | मध्यम |
एक सफल v2 चुनौती द्वारा उत्पादित टोकन आपके सर्वर को भेजा जाता है और Google के siteverify API के माध्यम से सत्यापित किया जाता है। उत्तर द्विआधारी होता है: वैध या अवैध। कोई स्कोर नहीं होता है।
reCAPTCHA v3: शांति से स्कोरिंग, कोई उपयोगकर्ता बाधा बिना
reCAPTCHA v3 एक पूरी तरह से अलग दृष्टिकोण लेता है। यह कभी भी उपयोगकर्ता को चुनौती नहीं देता। बजाय इसके, यह लगातार पृष्ठभूमि में काम करता है, व्यवहारिक संकेत एकत्र करता है और 0.0 से 1.0 के बीच एक जोखिम स्कोर लौटाता है।
reCAPTCHA v3 कैसे काम करता है
आप हर पृष्ठ पर reCAPTCHA v3 स्क्रिप्ट एम्बेड करते हैं जिसे आप निगरानी करना चाहते हैं। स्क्रिप्ट संकेत एकत्र करता है — अंतरक्रिया पैटर्न, समय, डिवाइस फिंगरप्रिंट्स — और जब आप grecaptcha.execute() कॉल करते हैं, तो यह एक टोकन लौटाता है। आपके सर्वर उस टोकन को Google के siteverify एंडपॉइंट पर भेजता है और एक JSON उत्तर प्राप्त करता है जिसमें शामिल है:
- एक स्कोर (0.0–1.0)
- एक क्रिया लेबल (जिसे आप परिभाषित करते हैं, जैसे
लॉगिन,चेकआउट) - एक होस्टनाम और समय-चिह्न
गूगल के reCAPTCHA v3 दस्तावेज़ के अनुसार, 0.5 का स्कोर डिफ़ॉल्ट सिफारिश किया गया है, लेकिन गूगल स्पष्ट रूप से कहता है कि आप अपने स्वयं के ट्रैफिक डेटा के आधार पर इसे समायोजित करना चाहिए।
स्कोर का क्या अर्थ है
स्कोर एक पास/फेल फैसला नहीं है। यह एक जोखिम संकेत है। आपके एप्लिकेशन के द्वारा यह निर्णय लिया जाता है:
- स्कोर ≥ 0.7: शायद मानव — क्रिया की अनुमति दें
- स्कोर 0.3–0.7: अनिश्चित — चरण-उप ऑथेंटिकेशन (ईमेल OTP, SMS) पर विचार करें
- स्कोर < 0.3: शायद स्वचालित — ब्लॉक करें या समीक्षा के लिए चिह्नित करें
इस लचीलापन शक्तिशाली है, लेकिन इसका अर्थ यह भी है कि reCAPTCHA v3 के लिए v2 के मुकाबले अधिक सर्वर-साइड तर्क की आवश्यकता होती है।
reCAPTCHA v2 और v3: सीधी तुलना
यहां आपके निर्णय लेने के लिए महत्वपूर्ण आयामों पर दोनों संस्करणों की संरचित तुलना है।
| आयाम | reCAPTCHA v2 | reCAPTCHA v3 |
|---|---|---|
| उपयोगकर्ता के सामने चुनौती | हां (चेकबॉक्स / छवि ग्रिड) | नहीं |
| आउटपुट | द्विआधारी (पास/फेल टोकन) | स्कोर (0.0–1.0) |
| उपयोगकर्ता घर्षण | उच्च | कोई नहीं |
| गलत सकारात्मक जोखिम | कम (स्पष्ट पास) | मध्यम (स्कोर समायोजन की आवश्यकता होती है) |
| स्थापना प्रयास | कम | मध्यम-उच्च |
| सर्वर-साइड तर्क की आवश्यकता | न्यूनतम | आवश्यक |
| उच्च-जोखिम कार्यों के लिए उपयुक्त | हां | ध्यान से स्कोर समायोजन के साथ |
| सक्रिय निगरानी के लिए उपयुक्त | नहीं | हां |
| टोकन वैधता | 2 मिनट | 2 मिनट |
| उपयोगकर्ता अंतरक्रिया के बिना काम करता है | नहीं (v2 अदृश्य: आंशिक रूप से) | हां |
reCAPTCHA v2 और v3 के बीच मुख्य अंतर जहां निर्णय लिया जाता है पर निर्भर करता है। v2 में, Google निर्णय लेता है और आवश्यकता होने पर चुनौती प्रस्तुत करता है। v3 में, Google एक संकेत प्रदान करता है और आपके एप्लिकेशन द्वारा निर्णय लिया जाता है।
reCAPTCHA v2 कब उपयोग करें
reCAPTCHA v2 तब उपयुक्त चयन है जब:
- आपको स्पष्ट, लेखाकर्ता पास/फेल गेट की आवश्यकता होती है (जैसे खाता पंजीकरण, पासवर्ड रीसेट)
- आपके उपयोगकर्ता अक्सर चुनौतियों के साथ सहज हैं
- आपको न्यूनतम सर्वर-साइड तर्क की आवश्यकता होती है
- आप एक उच्च-मूल्य कार्य की सुरक्षा कर रहे हैं बजाय साइट-वाइड व्यवहार के निगरानी कर रहे हैं
- आप v3 स्कोरिंग के असफल होने पर एक फॉलबैक योजना की आवश्यकता होती है
चेकबॉक्स विकल्प फॉर्म के लिए विशेष रूप से उपयुक्त है जहां उपयोगकर्ता फील्ड में भरने के लिए रुक गए हैं। इस संदर्भ में चुनौती के कारण घर्षण अधिक बाधित नहीं होता है।
reCAPTCHA v3 कब उपयोग करें
reCAPTCHA v3 तब उपयुक्त चयन है जब:
- उपयोगकर्ता अनुभव प्राथमिकता है और आप एक बाधा के बिना उपयोगकर्ता प्रवाह को बरकरार रखना चाहते हैं
- आप एक से अधिक पृष्ठों या क्रियाओं पर जोखिम के निगरानी करना चाहते हैं
- आपके पास स्कोर-आधारित निर्णय के लिए सर्वर-साइड बुनियादी ढांचा है
- आप एक उत्तर के निर्णय लेने से पहले जोखिम डेटा एकत्र करना चाहते हैं (जैसे शैडो-बैनिंग के बजाय कठिन ब्लॉकिंग)
- आप एक प्रगतिशील सुरक्षा मॉडल बना रहे हैं जहां कम जोखिम वाले उपयोगकर्ता को बिना घर्षण के अनुभव प्रदान करते हैं
अधिकांश उत्पादन प्रणालियां reCAPTCHA v3 के पहले बैंड के रूप में उपयोग करती हैं और जब स्कोर एक अंतराल से नीचे होता है तो reCAPTCHA v2 पर फॉलबैक करती हैं। इस संयुक्त दृष्टिकोण के लिए गूगल के reCAPTCHA अक्सर पूछे जाने वाले प्रश्न में स्पष्ट रूप से सिफारिश की गई है।
सामान्य स्थापना त्रुटियां
reCAPTCHA v2 और v3 के बीच अंतर को समझना डेवलपर्स के द्वारा गलतियों के बारे में जानकारी भी शामिल है।
गलती 1: बिना समायोजन के एक निश्चित v3 अंतराल का उपयोग करना
गूगल के डिफ़ॉल्ट 0.5 एक शुरुआत है, एक सार्वभौमिक नियम नहीं है। असामान्य ट्रैफिक पैटर्न वाली साइटों (जैसे भारी मोबाइल उपयोग, अंतरराष्ट्रीय दर्शक) के लिए आपको काफी अधिक समायोजन की आवश्यकता हो सकती है।
गलती 2: v3 को v2 के एक बदले के रूप में विचार करना
वे अलग-अलग समस्याओं को हल करते हैं। बिना सर्वर-साइड स्कोर नियंत्रण के उच्च-जोखिम वाले फॉर्म पर v2 के स्थान पर v3 के उपयोग से सुरक्षा अंतर उत्पन्न हो सकता है।
गलती 3: क्रिया लेबल की जांच न करना
reCAPTCHA v3 टोकन में आपके द्वारा परिभाषित क्रिया नाम शामिल होता है। अगर आप यह जांच नहीं करते कि क्रिया अपेक्षित है या नहीं, तो एक पृष्ठ पर उत्पन्न टोकन दूसरे पृष्ठ पर पुनः उपयोग किया जा सकता है।
गलती 4: टोकन को कैश करना या पुनः उपयोग करना
v2 और v3 टोकन दोनों एक बार के उपयोग के लिए होते हैं और 2 मिनट के बाद समाप्त हो जाते हैं। एक टोकन का पुनः उपयोग करना हमेशा सत्यापन विफलता का कारण बनता है।
स्वचालित कार्यप्रवाह में reCAPTCHA: डेवलपर्स के लिए क्या जानना आवश्यक है
वेब स्क्रैपिंग, स्वचालित परीक्षण सूट, RPA पाइपलाइन या डेटा संग्रह उपकरण बनाने वाले डेवलपर्स को लक्ष्य साइटों पर reCAPTCHA v2 और v3 के साथ अक्सर सामना करना पड़ता है। दोनों संस्करण गैर-मानव अंतरक्रिया पैटर्न का पता लगाने के लिए डिज़ाइन किया गया है, जिसका अर्थ है कि मानक स्वचालन फ्रेमवर्क अक्सर चुनौतियां उत्पन्न करते हैं या कम v3 स्कोर प्राप्त करते हैं।
वैध स्वचालन उपयोग मामलों के लिए — जैसे अपने वेब एप्लिकेशन के स्वचालित परीक्षण के लिए स्वचालित ब्राउज़र परीक्षण के साथ CapSolver, बाजार अनुसंधान के लिए वेब स्क्रैपिंग के साथ CapSolver या SEO रैंक ट्रैकिंग के साथ CapSolver — CapSolver द्वारा प्रोग्रामेटिक API प्रदान किया जाता है जो दोनों reCAPTCHA v2 और v3 टोकन उत्पादन के साथ निपटारा करता है।
CapSolver AI-शक्ति अंगूठा द्वारा वैध टोकन लौटाता है जिसे लक्ष्य साइट के सत्यापन एंडपॉइंट पर जमा किया जा सकता है। यह तब विशेष रूप से उपयोगी होता है जब आपको reCAPTCHA v2 चुनौतियां हल करने की आवश्यकता होती है या reCAPTCHA v3 स्कोर आवश्यकताओं के साथ निपटारा करने की आवश्यकता होती है स्वचालित पाइपलाइन में।
CapSolver के API के साथ reCAPTCHA v2 के लिए एक आधारभूत एकीकरण के लिए (CapSolver के आधिकारिक दस्तावेज़ के उदाहरण के रूप में पायथन):
python
import capsolver
capsolver.api_key = "YOUR_API_KEY"
solution = capsolver.solve({
"type": "ReCaptchaV2Task",
"websiteURL": "https://example.com",
"websiteKey": "YOUR_SITE_KEY",
})
print(solution["gRecaptchaResponse"])reCAPTCHA v3 के लिए, कार्य प्रकार ReCaptchaV3Task में बदल जाता है और आप लक्ष्य पृष्ठ पर परिभाषित क्रिया के साथ pageAction पैरामीटर प्रदान करते हैं। हमेशा अपने स्वचालन उपयोग मामले के लिए लक्ष्य साइट के शर्तों के सेवा और लागू डेटा नियमों के अनुपालन सुनिश्चित करें।
CapSolver बोनस कोड के लिए लाभ उठाएं
तुरंत अपने स्वचालन बजट को बढ़ाएं!
अपने CapSolver खाता में भरते समय बोनस कोड CAP26 का उपयोग करें ताकि प्रत्येक भरती पर 5% बोनस मिले — कोई सीमा नहीं है।
अब अपने CapSolver डैशबोर्ड में इसे लागू करें
reCAPTCHA v2 और v3: कौन अधिक सुरक्षित है?
यह एक सामान्य प्रश्न है, और उत्तर जटिल है।
reCAPTCHA v2 एक कठिन बाधा प्रदान करता है — एक बॉट को आगे बढ़ने के लिए एक दृश्यमान या ऑडियो चुनौती हल करनी होती है। यह सरल स्क्रिप्टेड हमलों के लिए अधिक प्रतिरोधक है। हालांकि, यह वास्तविक उपयोगकर्ताओं के लिए अधिक बाधित होता है और विशेषज्ञ सेवाओं द्वारा हल किया जा सकता है।
reCAPTCHA v3 व्यापक कवरेज प्रदान करता है — यह एक फॉर्म उपसमिति बिंदु पर बजाय पूरे सत्र के बीच व्यवहार की निगरानी करता है। एक उन्नत बॉट जो एक बार v2 चुनौती पास करता है, एक v3-सुरक्षित साइट पर काम करने वाला बॉट के लिए लगातार मानव-जैसे व्यवहार बनाए रखना आवश्यक होता है।
वास्तविक उदाहरण में, USENIX सुरक्षा 2023 में सुरक्षा अनुसंधानकर्ता ने पाया कि जब सही रूप से समायोजित किया जाता है, तो व्यवहारिक CAPTCHA प्रणालियां v3 बड़े पैमाने पर स्वचालित हमलों के खिलाफ अधिक प्रभावी होती हैं, लेकिन मानव व्यवहार पैटर्न के अनुकरण करने वाले लक्षित हमलों के लिए अधिक खतरे में होती हैं।
सबसे मजबूत डेप्लॉयमेंट दोनों के उपयोग करते हैं: v3 के लिए अदृश्य निगरानी के लिए और v2 के लिए जब स्कोर एक स्वीकार्य सीमा से नीचे होता है।
निष्कर्ष
reCAPTCHA v2 और v3 के बीच अंतर नए या बेहतर संस्करण के बारे में नहीं है — यह आपके सुरक्षा ढांचे के अनुरूप है। reCAPTCHA v2 आपको उपयोगकर्ता दृश्यमान चुनौतियों के साथ एक स्पष्ट द्विआधारी गेट प्रदान करता है। reCAPTCHA v3 आपको बिना उपयोगकर्ता बाधा के लगातार जोखिम संकेत प्रदान करता है, लेकिन अधिक जटिल सर्वर-साइड निर्णय लेने की आवश्यकता होती है।
अधिकांश उत्पादन एप्लिकेशन के लिए उत्तर reCAPTCHA v2 के बजाय v3 और v2 के साथ एक साथ काम करता है। v3 के साथ निगरानी और स्कोरिंग करें, और जब जोखिम संकेत एक कठिन चुनौती की आवश्यकता के लिए आवश्यकता होती है तो v2 पर फॉलबैक करें।
अगर आप किसी भी संस्करण के साथ अंतर्क्रिया करने वाले स्वचालन उपकरण बना रहे हैं — परीक्षण, डेटा संग्रह या कार्यप्रवाह स्वचालन के लिए — CapSolver के API के द्वारा दोनों reCAPTCHA v2 और v3 के कार्य प्रकार का समर्थन किया जाता है जो तेज उत्तर समय और सरल एकीकरण के साथ। आप capsolver.com पर पूर्ण दस्तावेज़ की जांच कर सकते हैं।
अक्सर पूछे जाने वाले प्रश्न
Q1: क्या मैं कोई फॉलबैक बिना reCAPTCHA v3 का उपयोग कर सकता हूं?
हां, लेकिन उच्च-जोखिम कार्य के लिए इसकी सिफारिश नहीं की जाती है। बिना फॉलबैक के, कम स्कोर प्राप्त करने वाले उपयोगकर्ता को शांति से ब्लॉक किया जाता है या चिह्नित किया जाता है, बिना किसी तरीे के जो साबित कर सकते हैं कि वे मानव हैं। v2 फॉलबैक वास्तविक उपयोगकर्ताओं के लिए एक रास्ता प्रदान करता है।
Q2: क्या reCAPTCHA v3 मेरी वेबसाइट को धीमा करता है?
reCAPTCHA v3 स्क्रिप्ट प्रत्येक पृष्ठ पर छोटा जावास्क्रिप्ट जोड़ता है। Google के अनुसार स्क्रिप्ट का आकार लगभग 35 केबी है। अधिकांश वेबसाइट के लिए प्रदर्शन प्रभाव नगण्य है, लेकिन ऐसे पृष्ठों पर मापना आवश्यक है जहां लोड समय आवश्यकता है।
Q3: reCAPTCHA v2 अदृश्य और reCAPTCHA v3 में क्या अंतर है?
दोनों चुनौती दिखाए बिना काम करते हैं, लेकिन वे अलग-अलग तरीके से काम करते हैं। reCAPTCHA v2 अदृश्य अभी भी v2 चुनौती तकनीक का उपयोग करता है — अगर अप्रत्यक्ष संकेत पर्याप्त नहीं हैं, तो छवि ग्रिड दिखाए जाते हैं। reCAPTCHA v3 कभी भी चुनौती नहीं देता है; यह केवल एक स्कोर लौटाता है। निर्णय के लिए जोखिम स्कोर के साथ क्या करना है, आपके एप्लिकेशन पर निर्भर करता है।
Q4: मैं सही v3 स्कोर सीमा कैसे चुनूं?
गूगल के सिफारिश की 0.5 के साथ शुरू करें, फिर 1–2 सप्ताह तक अपने ट्रैफिक डेटा का विश्लेषण करें। ज्ञात-अच्छे उपयोगकर्ताओं (लॉगिन किए गए, सत्यापित खाते) के स्कोर वितरण के साथ अज्ञात ट्रैफिक की तुलना करें। अपने विशिष्ट उपयोगकर्ता बेस के लिए गलत सकारात्मक के अधिकतम करने के लिए सीमा को समायोजित करें।
Q5: क्या reCAPTCHA v3 GDPR संगत है?
reCAPTCHA v3 व्यवहारिक डेटा एकत्र करता है और इसे गूगल के सर्वरों पर भेजता है, जो जीडीपीआर के तहत डेटा गोपनीयता के मामले हो सकते हैं। आपको अपनी गोपनीयता नीति में reCAPTCHA के उपयोग की घोषणा करनी चाहिए और आपके विवेक के आधार पर, स्क्रिप्ट लोड करने से पहले उपयोगकर्ता से सहमति प्राप्त करने की आवश्यकता हो सकती है। आपके डेप्लॉयमेंट के लिए विशिष्ट दिशा-निर्देश के लिए अपनी कानूनी टीम से परामर्श करें।