Guia de compra de fornecedores de CAPTCHA 2025
Descobre como funcionam os CAPTCHAs modernos. Compara Google reCAPTCHA, Cloudflare Turnstiles e mais fornecedores em termos de funcionalidades, preços e dicas de integração.
Product & Design
O que é CAPTCHA?
CAPTCHA (Teste de Turing Público Completamente Automatizado para Diferenciar Computadores de Humanos) é um sistema de desafio-resposta usado para distinguir utilizadores humanos de programas automatizados ou bots. Apresenta tarefas que são fáceis para humanos, mas difíceis para máquinas.
Por exemplo, um CAPTCHA tradicional pode mostrar letras ou números distorcidos e pedir ao utilizador para os escrever. Ao tirar partido do reconhecimento de padrões humano, CAPTCHAs bloqueiam a maioria dos scripts e bots de spam de abusarem de formulários e serviços online.
Como funciona o CAPTCHA?
Os CAPTCHAs clássicos baseiam-se em tarefas como interpretar texto distorcido ou selecionar imagens específicas. A distorção (por exemplo, letras torcidas sobrepostas com ruído) impede algoritmos simples de OCR (Reconhecimento Óptico de Caracteres).
As soluções CAPTCHA modernas evoluíram para várias categorias:
- CAPTCHA Interativo: O utilizador tem de resolver ativamente um puzzle ou realizar uma operação específica. Exemplos incluem o desafio da caixa "Não sou um robô". Após clicar na caixa, pode ser solicitado ao utilizador que selecione todas as imagens com um semáforo ou montra, digite os caracteres exibidos, ou realize testes de áudio. Nomeadamente, com o Cloudflare Turnstile, basta um simples clique na caixa para verificar se a ação é humana, sem desafios complicados.
- CAPTCHA Não Interativo: Estes não interrompem o utilizador com um puzzle ou operação. Por exemplo, com o modo não interativo do Cloudflare Turnstile, os visitantes vêem apenas um pequeno widget com uma barra de carregamento automática. Realiza uma verificação em segundo plano e retorna silenciosamente um resultado de sucesso ou falha. Esta abordagem prioriza a experiência do utilizador.
- CAPTCHA Invisível ou Passivo: Estes funcionam totalmente em segundo plano, sem qualquer teste visível. Por exemplo, o Google reCAPTCHA v3 analisa de forma invisível o comportamento do utilizador (movimentos do rato, tempo, cookies, etc.) para atribuir uma pontuação de risco (0–1), sem qualquer desafio direto. Os utilizadores raramente vêem algo, a menos que a pontuação seja demasiado baixa.
Devemos adicionar proteção CAPTCHA ao produto?
Usar CAPTCHA é um equilíbrio entre segurança e experiência do utilizador. Ao escolher um serviço CAPTCHA, as principais considerações incluem:
A IA consegue contornar o desafio CAPTCHA?
Os CAPTCHAs são eficazes contra bots básicos, mas atacantes determinados têm contramedidas. Scripts avançados ou bots com IA conseguem, por vezes, contornar CAPTCHAs usando OCR/reconhecimento de imagem e aprendizagem automática. Existem até serviços anti-CAPTCHA ou de resolução (frequentemente chamados de bypass-as-a-service) em que atacantes pagam a humanos ou a IAs especializadas para resolver CAPTCHAs em larga escala. Por exemplo, a Google relatou que CAPTCHAs de texto antigos podiam ser resolvidos por bots mais de 99% das vezes.
No entanto, CAPTCHAs modernos não interativos e invisíveis, como verificações comportamentais ou criptográficas em segundo plano, oferecem melhor defesa contra ataques de IA. Notavelmente, o tráfego de bots é agora enorme: Cerca de 51% de todo o tráfego da Internet, com 37% sendo malicioso. Por isso, ter alguma forma de deteção de bots ou CAPTCHA é importante mesmo que não seja infalível.
Além disso, adicionar proteção multi-camada contra bots é necessário, tal como identificação do dispositivo (por exemplo, via passkeys), limitação de taxa, Autenticação Multifator.
Adicionar CAPTCHA prejudica a experiência do utilizador?
Qualquer CAPTCHA acrescenta fricção à experiência dos utilizadores. Estudos mostram que apenas cerca de 66% dos humanos inserem um CAPTCHA corretamente à primeira tentativa, o que significa que muitos podem ficar frustrados ou abandonar um formulário. Por exemplo, puzzles de imagens longos ou várias tentativas podem diminuir as taxas de conversão.
Para mitigar isto, os fornecedores modernos de CAPTCHA focam-se em minimizar o esforço humano. As estratégias incluem:
- Apenas desafiar de forma adaptativa os utilizadores sinalizados como de alto risco.
- Utilizar sinais não intrusivos (movimentos de rato, tempo e outros) em vez de puzzles.
- Oferecer CAPTCHAs invisíveis que correm silenciosamente.
A Cloudflare relata que o Turnstile “elimina a experiência frustrante dos CAPTCHAs”, para que utilizadores reais “já não tenham de perder tempo e esforço a resolver puzzles visuais”. Na prática, muitos sites só mostram uma caixa de seleção ou um desafio de imagens quando o comportamento de um utilizador parece suspeito; utilizadores normais podem não ver nada.
O CAPTCHA bloqueia o acesso de agentes de IA a serviços terceiros?
Hoje em dia, surgem cada vez mais agentes de IA, concebidos para automatizar tarefas e interagir com serviços de terceiros.
Muitos agentes de IA específicos de domínio conectam-se de forma segura e legítima a aplicações de terceiros usando protocolos padrão como OAuth e MCP (Protocolos de Contexto de Modelo). Esta é uma forma aprovada e segura de conceder acesso a um agente, tornando a autorização do utilizador suave.
No entanto, alguns ambiciosos agentes “generalistas” de IA pretendem substituir completamente as ações de navegação humana. Por exemplo, Manus foi desenhado para automatizar tudo o que uma pessoa faz num navegador, desde preencher formulários até iniciar sessão com nome de utilizador e palavra-passe. Em testes reais, Manus tem dificuldade em ultrapassar CAPTCHAs modernos de alta segurança, como o Cloudflare Turnstile e o Google reCAPTCHA Enterprise, mesmo que o utilizador tente “passar” manualmente o desafio para uma pessoa real. Se estás a criar um agente de IA, é importante desenhar os teus fluxos de autenticação com cuidado. Depender da automatização do navegador para autenticar-se como um humano está cada vez mais impossível, porque CAPTCHAs fortes são extremamente eficazes a bloquear interações que parecem de bots.
Quanto aumenta o orçamento ao adicionar CAPTCHA?
Os serviços CAPTCHA variam entre gratuitos e pagos. Os planos gratuitos normalmente limitam o uso ou têm funcionalidades básicas. Por exemplo:
- Cloudflare Turnstile é gratuito e com uso ilimitado.
- O reCAPTCHA Essentials do Google é gratuito até 10.000 avaliações por mês; para maior volume ou funcionalidades avançadas é necessário subscrever o Standard ou Enterprise.
- O hCaptcha tem um nível “Básico” gratuito e cobra pelos níveis Pro/Enterprise (por exemplo, o plano Pro do hCaptcha começa nos 99–139 USD por mês para 100K pedidos).
Confirma sempre os limites e preços dos planos de cada fornecedor para os teus volumes de tráfego e objetivos de conversão.
Cenários de uso do CAPTCHA
Os CAPTCHAs são normalmente usados onde bots podem causar problemas. Os cenários comuns incluem:
- Fluxos de autenticação: Proteger os fluxos de registo, autenticação e recuperação de palavra-passe contra bots. O CAPTCHA serve como a primeira linha de defesa contra ataques automatizados a contas. Além disso, funcionalidades como bloqueio de autenticação (para impedir tentativas de força bruta) e MFA adaptativo (para adicionar camadas extra de verificação quando o risco é detetado) podem reforçar ainda mais a segurança mantendo a experiência fluída.
- Envio de formulários: Proteger formulários públicos (por exemplo, contactos, feedback, comentários, avaliações). Sem CAPTCHA, spammers podem inundar secções de comentários ou fóruns.
- Ações de alto valor: Prevenir fraude em votações online, vendas de bilhetes, promoções ou checkouts de e-commerce. Os CAPTCHAs podem limitar votações ou compras automáticas em massa (por exemplo, um voto por pessoa numa sondagem, um bilhete por pessoa).
Ao adicionar CAPTCHAs nestes pontos, reduzes significativamente os abusos automatizados mantendo o sistema aberto a utilizadores legítimos.
Comparar fornecedores de CAPTCHA
| Fornecedor CAPTCHA | Experiência do utilizador | Plano & preço |
|---|---|---|
| reCAPTCHA v2 (Google) | Utilizadores têm de clicar numa caixa "Não sou um robô". Este clique pode ou não apresentar puzzles de imagens CAPTCHA. | Gratuito (Essentials) até 10K avaliações/mês; depois planos pagos (Standard/Enterprise). Enterprise custa $8 até 100K e $1 por cada 1K adicional. |
| reCAPTCHA v3 (Google) | Invisível, avaliação de risco em segundo plano (sem desafio ao utilizador). | Os mesmos preços que o reCAPTCHA v2 |
| reCAPTCHA Enterprise (Google) | Dois modos interativos: 1. Baseado em pontuação (sem desafio). 2. Caixa de seleção e desafio visual adaptativo. | Preço baseado em volume: gratuito até 10K; $8 até 100K; $1/1K além disso. Oferece funcionalidades extra como defensor de conta e proteção antifraude por SMS. |
| Cloudflare Turnstile | Três modos de interação: 1. Gerido: A lógica da Cloudflare decide quem vê a caixa de seleção. 2. Não interativo: Todos veem um widget de carregamento automático, mas nunca interagem. 3. Invisível: Os visitantes nunca veem ou interagem com o widget. Desafios invisíveis demoram apenas alguns segundos. | Praticamente gratuito. Plano grátis: até 20 widgets CAPTCHA, 15 domínios por widget, volume ilimitado. Plano Enterprise: ilimitado. |
| hCaptcha | Tarefas interativas de classificação de imagem (semelhante ao reCAPTCHA v2). Foca na privacidade, mas puzzles podem ser complexos. | Gratuito até 100k pedidos por mês. Plano Pro: ~99 USD/mês. Planos Enterprise personalizados. |
| FunCaptcha (Arkose Labs) | Mini-jogos gamificados (rodar/deslizar objetos, questionários). Puzzles mais envolventes destinados a vencer bots. | Sem plano gratuito. Apenas solução Enterprise (parte do Arkose Bot Management), contactar para preços. |
| Friendly Captcha | Puzzle de prova de trabalho totalmente invisível. Não é necessária ação do utilizador, tudo é resolvido em segundo plano. | Nível gratuito não comercial (1 domínio, 1000 pedidos). Planos pagos: Starter €9/mês (1K pedidos); Growth €39/mês (5K pedidos); Advanced €200/mês (50K pedidos); Enterprise personalizado. |
| BotDetect (Captcha.com) | CAPTCHA tradicional de imagem ou áudio com letras/números. | Auto-hospedado/licenciado. Sem plano gratuito. Licença APT cerca de $99/ano. |
Entre estes, o Cloudflare Turnstile destaca-se atualmente. É gratuito, fácil de integrar e pouco intrusivo. O Turnstile oferece bloqueio robusto de bots sem forçar puzzles a utilizadores reais, e “nunca utiliza dados para retargeting de anúncios”, respeitando totalmente a privacidade. Para a maioria dos sites, o Turnstile oferece o melhor equilíbrio entre segurança, UX e custo.
Simplifica a integração de CAPTCHA em fluxos de autenticação
A maneira mais fácil de adicionar CAPTCHA é usar uma plataforma de identidade integrada.
Logto, uma solução IAM amigável para programadores, suporta os principais fornecedores como o Google reCAPTCHA Enterprise e Cloudflare Turnstile, para que possas ativar CAPTCHA em apenas alguns cliques.
Com a Logto, a tua equipa pode proteger todos os fluxos de autenticação sem ter de lidar com implementações complexas, incluindo registo, autenticação, recuperação de conta, SSO, MFA, gestão multi-inquilino, etc. Aprende mais sobre o CAPTCHA da Logto ou contacta a equipa se quiseres explorar mais opções de fornecedores CAPTCHA.