CAPTCHA-provider koopgids 2025
Leer hoe moderne CAPTCHA werkt. Vergelijk Google reCAPTCHA, Cloudflare Turnstiles en meer aanbieders op functies, prijzen en integratietips.
Product & Design
Wat is CAPTCHA?
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) is een challenge-responsesysteem dat wordt gebruikt om menselijke gebruikers van geautomatiseerde programma's of bots te onderscheiden. Het presenteert taken die gemakkelijk zijn voor mensen maar moeilijk voor machines.
Een traditioneel CAPTCHA toont bijvoorbeeld vervormde letters of cijfers en vraagt aan de gebruiker deze in te typen. Door gebruik te maken van het menselijk patroonherkenningsvermogen, blokkeren CAPTCHAs de meeste scripts en spam-bots die online formulieren en diensten misbruiken.
Hoe werkt CAPTCHA?
Klassieke CAPTCHA's vertrouwen op taken zoals het interpreteren van vervormde tekst of het selecteren van specifieke afbeeldingen. De vervorming (bijv. verwrongen letters bedekt met ruis) maakt eenvoudige OCR (Optical Character Recognition) algoritmen kansloos.
Moderne CAPTCHA-oplossingen zijn geëvolueerd in verschillende categorieën:
- Interactieve CAPTCHA: De gebruiker moet actief een puzzel oplossen of een handeling uitvoeren. Voorbeelden zijn het "Ik ben geen robot"-vakje. Na het aanklikken kan de gebruiker worden gevraagd alle afbeeldingen met een verkeerslicht of winkelpui te selecteren, getoonde tekens in te typen of zelfs audiotests te doen. Opmerkelijk: bij Cloudflare Turnstile is een simpele klik voldoende om de menselijkheid te verifiëren, zonder ingewikkelde challenges.
- Niet-interactieve CAPTCHA: Deze onderbreken de gebruiker niet met een puzzel. Bijvoorbeeld: Cloudflare Turnstile’s non-interactive mode toont slechts een kleine widget met een automatische laadbalk. Op de achtergrond wordt een controle uitgevoerd, waarna ongemerkt een succes of mislukking wordt weergegeven. Deze aanpak geeft prioriteit aan de gebruikerservaring.
- Onzichtbare/passieve CAPTCHA: Werkt volledig op de achtergrond zonder zichtbare test. Bijv. Google reCAPTCHA v3 analyseert onzichtbaar gebruikersgedrag (muibewegingen, timing, cookies, etc.) en kent een risicoscore toe (0–1) zonder directe uitdaging. Gebruikers merken hier zelden iets van, tenzij de score te laag is.
Moeten we CAPTCHA-beveiliging toevoegen aan het product?
Het gebruik van CAPTCHA is een afweging tussen veiligheid en gebruikerservaring. Let bij het kiezen van een CAPTCHA op:
Kan AI een CAPTCHA-challenge omzeilen?
CAPTCHAS werken tegen eenvoudige bots, maar vastbesloten aanvallers hebben tegenmaatregelen. Geavanceerde scripts of AI-bots kunnen soms CAPTCHA's omzeilen via OCR/beeldherkenning en machine learning. Er zijn zelfs anti-CAPTCHA- of solverservices (bypass-as-a-service) waarbij aanvallers mensen of gespecialiseerde AI betalen om CAPTCHA's op grote schaal op te lossen. Zo meldde Google ooit dat oudere tekst-CAPTCHAs door bots in meer dan 99% van de gevallen werden opgelost.
Moderne niet-interactieve en onzichtbare CAPTCHA's, zoals op gedrag-gebaseerde of cryptografische controles op de achtergrond, bieden een betere verdediging tegen AI-aanvallen. Het botverkeer is enorm: ongeveer 51% van al het internetverkeer, waarvan 37% kwaadwillig. Enige CAPTCHA of botdetectie is dus belangrijk, ook als het niet waterdicht is.
Daarnaast is het nodig meerlaagse botbeveiliging toe te voegen, zoals device fingerprinting (bijv. via passkeys), rate limiting, Multi-Factor Authenticatie.
Schaad het toevoegen van een CAPTCHA de gebruikerservaring?
Elke CAPTCHA zorgt voor wrijving. Slechts 66% van de mensen vult een CAPTCHA bij de eerste poging correct in; velen raken gefrustreerd of haken af. Moeilijke beeldpuzzels of meerdere pogingen kunnen de conversie verminderen.
Om dit te verzachten, richten moderne CAPTCHA-aanbieders zich op het minimaliseren van menselijke inspanning. Strategieën zijn onder andere:
- Alleen gebruikers met hoog risico adaptief uitdagen.
- Gebruik maken van niet-opdringerige signalen (muibewegingen, timing, enz.) in plaats van puzzels.
- Onzichtbare CAPTCHA's aanbieden die ongemerkt op de achtergrond draaien.
Cloudflare meldt dat Turnstile “de frustrerende ervaring van CAPTCHA's elimineert” zodat echte gebruikers “geen tijd en moeite meer hoeven te verspillen aan visuele puzzels”. In de praktijk zien veel gebruikers alleen een vinkje of krijgen alleen een afbeelding als hun gedrag verdacht lijkt; normale gebruikers zien vaak helemaal niets.
Blokkeert CAPTCHA AI-agenten bij toegang tot externe diensten?
Steeds meer AI-agenten automatiseren taken en communiceren met externe diensten.
Veel domeinspecifieke AI-agenten verbinden veilig en legitiem met externe apps via standaardprotocollen zoals OAuth en MCP (Model Context Protocols). Hiermee verleen je op een veilige manier toegang die soepel kan worden geautoriseerd.
Ambitieuze “algemene” AI-agenten proberen menselijke browser-acties volledig te vervangen. Manus is ontworpen om alles te automatiseren wat een mens via een browser doet, van formulieren invullen tot inloggen. In praktijk blijkt Manus moeite te hebben om moderne, goed beveiligde CAPTCHA's waaronder Cloudflare Turnstile en Google reCAPTCHA Enterprise te omzeilen, zelfs wanneer gebruikers proberen het handmatig over te nemen. Bouw je een AI-agent, ontwerp je authenticatiestroom dan zorgvuldig. Browserautomatisering om in te loggen als een mens wordt steeds onpraktischer omdat sterke CAPTCHA's botachtig gedrag uitermate goed kunnen blokkeren.
Hoeveel kost het toevoegen van een CAPTCHA?
CAPTCHA-diensten zijn gratis of betaald. Gratis plannen zijn vaak beperkt in gebruik of in functies. Bijvoorbeeld:
- Cloudflare Turnstile is gratis en onbeperkt in gebruik.
- Google’s reCAPTCHA Essentials is gratis tot 10.000 assessments per maand; meer volume of extra functies vereisen een upgrade naar Standard of Enterprise.
- hCaptcha heeft een gratis “Basic” plan en rekent voor Pro/Enterprise (bijvoorbeeld, hCaptcha’s Pro-plan start vanaf ongeveer $99–$139 per maand voor 100K verzoeken).
Bekijk altijd per aanbieder het plan, limieten en prijzen voor jouw verwachte verkeer en doelen.
Gebruiksscenario’s voor CAPTCHA
CAPTCHAs worden ingezet waar bots voor problemen kunnen zorgen. Veelvoorkomende scenario's:
- Authenticatieprocessen: Bescherming van registratie, inloggen en wachtwoordherstel tegen misbruik door bots. CAPTCHA is de eerste verdedigingslinie tegen geautomatiseerde aanvallen. Daarnaast versterken aanmeldingsblokkering en adaptieve MFA de beveiliging verder zonder de ervaring te lastiger te maken.
- Formulierinzendingen: Beschermen van openbare formulieren (contact, feedback, reacties, reviews). Zonder CAPTCHA kunnen spammers reacties en berichten overladen.
- Waardevolle acties: Fraude voorkomen bij online stemmen, ticketverkoop, acties en afrekenen. CAPTCHA's beperken automatisch stemmen of scalpers (bijv. één stem per persoon per poll, één ticket per persoon).
Door CAPTCHA's bij deze punten te plaatsen, verminder je geautomatiseerd misbruik en blijft het systeem open voor legitieme gebruikers.
Vergelijk CAPTCHA-aanbieders
| CAPTCHA-aanbieder | Gebruikerservaring | Plan & prijs |
|---|---|---|
| reCAPTCHA v2 (Google) | Gebruiker moet een "Ik ben geen robot"-vakje aanklikken. Mogelijk volgt een afbeeldingpuzzel. | Gratis (Essentials) tot 10K beoordelingen/mnd; daarna betaalde niveaus (Standard/Enterprise). Enterprise: $8 tot 100K, $1 per extra 1K. |
| reCAPTCHA v3 (Google) | Onzichtbare risicoscore op de achtergrond (geen challenge). | Zelfde prijsniveaus als reCAPTCHA v2 |
| reCAPTCHA Enterprise (Google) | Twee interactieve modi: 1. Score-gebaseerd (geen challenge). 2. Vinkje en adaptieve visuele challenge. | Volume-gebaseerde prijs: gratis tot 10K; $8 tot 100K; $1/1K extra. Inclusief extra features zoals accountbeschermer en SMS-fraudebescherming. |
| Cloudflare Turnstile | Drie modes: 1.Beheerd: Cloudflare bepaalt wie een vinkje ziet. 2. Niet-interactief: Iedereen ziet een auto-load widget, nooit interactie nodig. 3. Onzichtbaar: Bezoekers zien of doen niets. Duurt enkele seconden. | Vrijwel volledig gratis. Gratis: Tot 20 CAPTCHA-widgets, 15 hostnames per widget, onbeperkt volume. Enterprise: onbeperkt widgets. |
| hCaptcha | Interactieve beeldclassificatietaken (zoals reCAPTCHA v2). Gericht op privacy maar taken complex. | Gratis tot 100k verzoeken/mnd. Pro ~ $99/mnd. Enterprise: maatwerk. |
| FunCaptcha (Arkose Labs) | Gammified minigames (objecten draaien/schuiven, quizjes). Leukere puzzels, lastig voor bots. | Geen gratis versie. Alleen Enterprise-oplossing (onderdeel Arkose Bot Management) en prijs op aanvraag. |
| Friendly Captcha | Volledig onzichtbare proof-of-work puzzel. Alles op de achtergrond, geen actie gebruiker. | Gratis niet-commercieel (1 domein, 1000 verzoeken). Betaald: Starter €9/mnd (1K), Growth €39/mnd (5K), Advanced €200/mnd (50K), Enterprise maatwerk. |
| BotDetect (Captcha.com) | Klassieke beeld- of audio-CAPTCHA met cijfers/letters. | Zelfgehost, licentie. Geen gratis plan. APT-licentie ong. $99/jaar. |
Van deze aanbieders steekt Cloudflare Turnstile er momenteel bovenuit. Het is gratis, eenvoudig te integreren en niet opdringerig. Turnstile blokkeert bots krachtig zonder echte gebruikers puzzels op te leggen en “gebruikt nooit data voor advertentiedoeleinden”, met volledige privacy. Voor de meeste sites biedt Turnstile de beste balans tussen veiligheid, gebruiksgemak en kosten.
Vereenvoudig CAPTCHA-integratie in je inlogflows
De makkelijkste manier om CAPTCHA toe te voegen is via een geïntegreerd identiteitsplatform.
Logto, een ontwikkelaarsvriendelijke IAM-oplossing, ondersteunt topaanbieders als Google reCAPTCHA Enterprise en Cloudflare Turnstile, zodat je met een paar klikken een CAPTCHA kunt activeren.
Met Logto kan je team alle authenticatiestromen beveiligen zonder ingewikkelde implementatie, inclusief registratie, login, accountherstel, SSO, MFA, multi-tenant beheer, enzovoort. Lees meer over Logto’s CAPTCHA of neem contact op als je meer opties wilt verkennen.