reCAPTCHA v2 vs v3: Perbedaan Kunci yang Perlu Diketahui Setiap Pengembang

TL;DR

• reCAPTCHA v2 meminta pengguna untuk menyelesaikan teka-teki yang terlihat (checkbox atau grid gambar); v3 berjalan diam-diam di latar belakang dan mengembalikan skor risiko.
• Perbedaan inti antara reCAPTCHA v2 dan v3 adalah ketidaknyamanan pengguna: v2 mengganggu alur pengguna, sedangkan v3 tidak.
• Skor v3 berkisar dari 0,0 (kemungkinan bot) hingga 1,0 (kemungkinan manusia) — server Anda menentukan tindakan yang dilakukan dengan skor tersebut.
• v2 lebih mudah diimplementasikan dan didebug; v3 memerlukan penanganan skor di sisi server dan penyetelan ambang batas.
• Tidak ada versi yang secara universal "lebih baik" — pilihan yang tepat bergantung pada toleransi risiko situs Anda dan kebutuhan UX.
• Alur kerja otomatis yang berinteraksi dengan kedua versi ini dapat menggunakan API CapSolver untuk menangani tantangan CAPTCHA secara programatis.

Pendahuluan

Jika Anda pernah membangun formulir web, halaman login, atau alur checkout, Anda hampir pasti pernah menghadapi reCAPTCHA. Layanan reCAPTCHA dari Google adalah sistem CAPTCHA yang paling umum digunakan di internet, melindungi jutaan situs dari penyalahgunaan otomatis. Namun, perbedaan antara reCAPTCHA v2 dan v3 lebih dari sekadar nomor versi — kedua sistem ini bekerja berdasarkan prinsip yang berbeda, melayani tujuan UX yang berbeda, dan memerlukan strategi implementasi yang berbeda.

Artikel ini menjelaskan reCAPTCHA v2 vs v3 dalam istilah teknis sederhana: apa yang dilakukan setiap versi, bagaimana cara kerjanya di bawah permukaan, kapan menggunakan satu dibanding yang lain, dan apa yang perlu diketahui pengembang yang membangun otomatisasi atau alur kerja data.

Apa Itu reCAPTCHA? Latar Belakang Singkat

reCAPTCHA adalah layanan gratis dari Google yang dirancang untuk membedakan pengguna manusia dari bot otomatis. Layanan ini awalnya dibeli dari Universitas Carnegie Mellon pada tahun 2009 dan telah mengalami beberapa iterasi besar sejak itu.

Menurut dokumentasi resmi reCAPTCHA Google, versi aktif saat ini adalah v2 (dengan dua sub-tipe) dan v3, masing-masing menargetkan keseimbangan yang berbeda antara keamanan dan pengalaman pengguna. Tier keempat — reCAPTCHA Enterprise — membangun pada v3 dengan sinyal risiko tambahan dan ditujukan untuk penggunaan skala besar.

Memahami perbedaan antara reCAPTCHA v2 dan v3 dimulai dengan memahami masalah yang masing-masing versi dirancang untuk menyelesaikan.

reCAPTCHA v2: Tantangan Terlihat, Verifikasi Langsung

reCAPTCHA v2 adalah versi yang paling dikenal oleh pengguna. Ia menampilkan tantangan eksplisit yang harus diselesaikan sebelum formulir dapat dikirim.

Cara Kerja reCAPTCHA v2

Ketika pengguna mendarat di halaman yang dilindungi oleh reCAPTCHA v2, widget akan dimuat dan menganalisis sinyal pasif — gerakan mouse, riwayat penjelajahan, cookie. Jika sistem yakin pengguna adalah manusia, ia mungkin melewatkan mereka secara otomatis. Jika tidak, tantangan akan ditampilkan.

Ada dua sub-tipe reCAPTCHA v2:

1. Checkbox ("Saya bukan robot")
Pengguna mengklik checkbox. Jika sinyal pasif tidak memadai, tantangan grid gambar muncul (misalnya, "pilih semua lampu lalu lintas"). Ini adalah bentuk paling dikenal dari reCAPTCHA v2.

2. reCAPTCHA v2 Tidak Terlihat
Tidak ada checkbox yang ditampilkan. Tantangan muncul secara otomatis ketika pengguna mengirim formulir. Jika skor risiko terlalu rendah, tantangan visual muncul. Varian ini mengurangi ketidaknyamanan sambil mempertahankan mekanisme tantangan v2.

Karakteristik Utama reCAPTCHA v2

Token yang dihasilkan dari tantangan v2 yang berhasil dikirim ke server Anda dan diverifikasi melalui API siteverify Google. Responsnya biner: valid atau tidak valid. Tidak ada skor.

reCAPTCHA v3: Penilaian Diam-Diam, Tidak Ada Gangguan Pengguna

reCAPTCHA v3 mengambil pendekatan yang sama sekali berbeda. Ia tidak pernah menampilkan tantangan kepada pengguna. Sebaliknya, ia terus-menerus berjalan di latar belakang, mengumpulkan sinyal perilaku, dan mengembalikan skor risiko antara 0,0 dan 1,0.

Cara Kerja reCAPTCHA v3

Anda menyematkan skrip reCAPTCHA v3 di setiap halaman yang ingin Anda pantau. Skrip ini mengumpulkan sinyal — pola interaksi, waktu, sidik jari perangkat — dan ketika Anda memanggil grecaptcha.execute(), ia mengembalikan token. Server Anda mengirim token tersebut ke endpoint siteverify Google dan menerima respons JSON yang mencakup:

• Sebuah skor (0,0–1,0)
• Label tindakan (yang Anda tentukan, misalnya, login, checkout)
• Nama domain dan timestamp

Menurut dokumentasi reCAPTCHA v3 Google, skor 0,5 adalah ambang batas yang direkomendasikan secara default, tetapi Google secara eksplisit menyatakan bahwa Anda harus menyetelnya berdasarkan data lalu lintas Anda sendiri.

Arti Skor

Skor bukanlah keputusan lulus/gagal. Ia adalah sinyal risiko. Aplikasi Anda menentukan tindakan yang dilakukan:

• Skor ≥ 0,7: Kemungkinan manusia — izinkan tindakan
• Skor 0,3–0,7: Tidak pasti — pertimbangkan otentikasi tambahan (OTP email, SMS)
• Skor < 0,3: Kemungkinan otomatis — blokir atau tandai untuk tinjauan

Fleksibilitas ini kuat, tetapi juga berarti reCAPTCHA v3 memerlukan lebih banyak logika di sisi server daripada v2.

reCAPTCHA v2 vs v3: Perbandingan Langsung

Berikut adalah perbandingan terstruktur antara kedua versi ini di sepanjang dimensi yang paling penting untuk keputusan implementasi.

Perbedaan inti antara reCAPTCHA v2 dan v3 berakar pada di mana keputusan dibuat. Dalam v2, Google membuat keputusan dan menampilkan tantangan jika diperlukan. Dalam v3, Google memberikan sinyal dan aplikasi Anda membuat keputusan.

Kapan Menggunakan reCAPTCHA v2

reCAPTCHA v2 adalah pilihan yang tepat ketika:

• Anda membutuhkan gerbang lulus/gagal yang jelas dan dapat diaudit (misalnya, pendaftaran akun, reset kata sandi)
• Basis pengguna Anda nyaman dengan tantangan sesekali
• Anda ingin logika sisi server yang minimal
• Anda melindungi satu tindakan berharga daripada memantau perilaku situs secara keseluruhan
• Anda membutuhkan mekanisme cadangan untuk pengguna yang gagal skor v3

Varian checkbox sangat cocok untuk formulir di mana pengguna sudah berhenti untuk mengisi bidang. Ketidaknyamanan tambahan dari tantangan CAPTCHA kurang mengganggu dalam konteks ini.

Kapan Menggunakan reCAPTCHA v3

reCAPTCHA v3 adalah pilihan yang tepat ketika:

• Pengalaman pengguna adalah prioritas dan Anda tidak bisa mengganggu alur
• Anda ingin memantau risiko di beberapa halaman atau tindakan secara bersamaan
• Anda memiliki infrastruktur sisi server untuk menangani keputusan berdasarkan skor
• Anda ingin mengumpulkan data risiko sebelum menentukan respons (misalnya, shadow-banning vs. blokir keras)
• Anda sedang membangun model keamanan progresif di mana pengguna berisiko rendah mendapatkan pengalaman tanpa ketidaknyamanan

Banyak sistem produksi menggunakan reCAPTCHA v3 sebagai lapisan pertama dan beralih ke reCAPTCHA v2 ketika skor di bawah ambang batas. Pendekatan hibrida ini secara eksplisit direkomendasikan dalam FAQ reCAPTCHA Google.

Kesalahan Umum dalam Implementasi

Memahami perbedaan reCAPTCHA v2 dan v3 juga berarti mengetahui di mana pengembang sering membuat kesalahan.

Kesalahan 1: Menggunakan ambang batas v3 tetap tanpa penyetelan
Ambang batas default Google 0,5 adalah titik awal, bukan aturan universal. Situs dengan pola lalu lintas yang tidak biasa (misalnya, penggunaan ponsel berat, audiens internasional) mungkin perlu menyesuaikan secara signifikan.

Kesalahan 2: Menganggap v3 sebagai pengganti langsung untuk v2
Mereka menyelesaikan masalah yang berbeda. Mengganti v2 dengan v3 pada formulir berisiko tinggi tanpa menambahkan penanganan skor sisi server menciptakan celah keamanan.

Kesalahan 3: Tidak memverifikasi label tindakan
Token reCAPTCHA v3 mencakup nama tindakan yang Anda tentukan. Jika Anda tidak memverifikasi bahwa tindakan sesuai dengan yang Anda harapkan, token yang dibuat di satu halaman bisa digunakan di halaman lain.

Kesalahan 4: Menyimpan atau mengulang token
Token v2 dan v3 hanya bisa digunakan satu kali dan berlaku selama dua menit. Mengulang token akan selalu gagal diverifikasi.

reCAPTCHA dalam Alur Kerja Otomatis: Apa yang Harus Diketahui Pengembang

Pengembang yang membangun web scraper, alat pengujian otomatis, pipeline RPA, atau alat pengumpulan data sering menghadapi reCAPTCHA v2 dan v3 di situs target. Kedua versi dirancang untuk mendeteksi pola interaksi non-manusia, yang berarti kerangka kerja otomatisasi standar sering kali memicu tantangan atau menerima skor rendah v3.

Untuk penggunaan otomatisasi yang sah — seperti pengujian browser otomatis untuk aplikasi web Anda sendiri, web scraping untuk penelitian pasar, atau pemantauan peringkat SEO — CapSolver menyediakan API programatik yang menangani pembuatan token untuk reCAPTCHA v2 dan v3.

CapSolver menggunakan pengenalan berbasis AI untuk mengembalikan token yang valid yang dapat dikirim ke endpoint verifikasi situs target. Ini sangat berguna ketika Anda perlu menyelesaikan tantangan reCAPTCHA v2 atau menangani persyaratan skor reCAPTCHA v3 dalam pipeline otomatis.

Integrasi dasar dengan API CapSolver untuk reCAPTCHA v2 terlihat seperti ini (contoh Python dari dokumentasi resmi CapSolver):

import capsolver

capsolver.api_key = "KUNCI_API_ANDA"

solution = capsolver.solve({
    "type": "ReCaptchaV2Task",
    "websiteURL": "https://contoh.com",
    "websiteKey": "KUNCI_SITUS_ANDA",
})

print(solution["gRecaptchaResponse"])

Untuk reCAPTCHA v3, jenis tugas berubah menjadi ReCaptchaV3Task dan Anda menyediakan parameter pageAction untuk sesuai dengan tindakan yang ditentukan di halaman target. Pastikan selalu bahwa kasus penggunaan otomatisasi Anda sesuai dengan ketentuan layanan situs target dan regulasi data yang berlaku.

Dapatkan Bonus Kode CapSolver Anda

Tingkatkan anggaran otomatisasi Anda secara instan!
Gunakan kode bonus CAP26 saat menambahkan dana ke akun CapSolver Anda untuk mendapatkan tambahan 5% bonus pada setiap penambahan — tanpa batas.
Dapatkan sekarang di Dashboard CapSolver

reCAPTCHA v2 vs v3: Mana yang Lebih Aman?

Ini adalah pertanyaan umum, dan jawabannya bersifat nuansa.

reCAPTCHA v2 memberikan penghalang yang lebih ketat — bot harus menyelesaikan tantangan visual atau audio untuk melanjutkan. Ini lebih tahan terhadap serangan sederhana yang dilakukan oleh script. Namun, ini juga lebih mengganggu pengguna sah dan dapat diselesaikan oleh layanan khusus.

reCAPTCHA v3 memberikan cakupan yang lebih luas — ia memantau perilaku sepanjang sesi, bukan hanya pada titik formulir tunggal. Bot yang melewati tantangan v2 sekali selesai; bot yang beroperasi di situs yang dilindungi v3 harus terus menunjukkan perilaku mirip manusia.

Dalam praktiknya, peneliti keamanan di USENIX Security 2023 menemukan bahwa sistem CAPTCHA berbasis perilaku seperti v3 lebih efektif terhadap serangan otomatis skala besar ketika disetel dengan tepat, tetapi lebih rentan terhadap serangan yang meniru pola perilaku manusia.

Pengoperasian paling tangguh menggunakan keduanya: v3 untuk pemantauan pasif dan v2 sebagai tantangan tambahan ketika skor turun di bawah ambang batas yang diterima.

Kesimpulan

Perbedaan antara reCAPTCHA v2 dan v3 bukan tentang versi mana yang lebih baru atau lebih baik — itu tentang model mana yang sesuai dengan arsitektur keamanan Anda. reCAPTCHA v2 memberi Anda gerbang biner yang jelas dengan tantangan yang terlihat pengguna. reCAPTCHA v3 memberi Anda sinyal risiko berkelanjutan tanpa gangguan pengguna, tetapi memerlukan penanganan sisi server yang lebih canggih.

Untuk sebagian besar aplikasi produksi, jawabannya bukan reCAPTCHA v2 vs v3 tetapi reCAPTCHA v2 dan v3 yang bekerja bersama. Gunakan v3 untuk memantau dan menilai, lalu beralih ke v2 ketika sinyal risiko meminta tantangan yang lebih keras.

Jika Anda sedang membangun alat otomatisasi yang perlu berinteraksi dengan kedua versi ini — untuk pengujian, pengumpulan data, atau otomatisasi alur kerja — API CapSolver mendukung kedua jenis tugas reCAPTCHA v2 dan v3 dengan respons cepat dan integrasi yang sederhana. Anda dapat menjelajahi dokumentasi lengkap di capsolver.com.

FAQ

P1: Apakah saya bisa menggunakan reCAPTCHA v3 tanpa fallback?
Ya, tetapi tidak disarankan untuk tindakan berisiko tinggi. Tanpa fallback, pengguna yang menerima skor rendah akan diblokir secara diam-diam atau ditandai, tanpa cara untuk membuktikan mereka manusia. Fallback v2 memberikan jalur bagi pengguna sah.

P2: Apakah reCAPTCHA v3 memperlambat situs saya?
Skrip reCAPTCHA v3 menambahkan sejumlah kecil JavaScript ke setiap halaman yang dimuat. Google melaporkan ukuran skrip sekitar 35KB. Untuk kebanyakan situs, dampak kinerja sangat kecil, tetapi penting untuk mengukurnya di halaman di mana waktu muat kritis.

P3: Apa perbedaan antara reCAPTCHA v2 tidak terlihat dan reCAPTCHA v3?
Kedua versi ini menghindari menampilkan tantangan kecuali diperlukan, tetapi bekerja berbeda. reCAPTCHA v2 tidak terlihat tetap menggunakan mekanisme tantangan v2 — akan menampilkan grid gambar jika sinyal pasif tidak memadai. reCAPTCHA v3 tidak pernah menampilkan tantangan; hanya mengembalikan skor. Keputusan tentang apa yang dilakukan dengan skor rendah sepenuhnya di tangan aplikasi Anda.

P4: Bagaimana cara memilih ambang batas skor v3 yang tepat?
Mulailah dengan ambang batas yang direkomendasikan Google sebesar 0,5, lalu analisis data lalu lintas Anda selama 1–2 minggu. Perhatikan distribusi skor untuk pengguna yang diketahui baik (akun yang masuk, diverifikasi) dibandingkan lalu lintas anonim. Sesuaikan ambang batas untuk meminimalkan kesalahan positif untuk basis pengguna spesifik Anda.

P5: Apakah reCAPTCHA v3 kompatibel dengan GDPR?
reCAPTCHA v3 mengumpulkan data perilaku dan mengirimkannya ke server Google, yang menimbulkan pertimbangan privasi data berdasarkan GDPR. Anda harus mengungkap penggunaan reCAPTCHA dalam kebijakan privasi Anda, dan, tergantung pada yurisdiksi Anda, mungkin perlu memperoleh persetujuan pengguna sebelum memuat skrip tersebut. Konsultasikan dengan tim hukum Anda untuk panduan yang spesifik terhadap pengembangan Anda.