CAPTCHA sağlayıcı alıcı rehberi 2025
Modern CAPTCHA'nın nasıl çalıştığını öğrenin. Google reCAPTCHA, Cloudflare Turnstile ve daha fazla sağlayıcıyı özellikler, fiyatlandırma ve entegrasyon ipuçları açısından karşılaştırın.
Product & Design
CAPTCHA nedir?
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), insan kullanıcıları otomatik programlardan veya botlardan ayırt etmek için kullanılan bir meydan okuma-yanıt sistemidir. İnsanlar için kolay, makineler için ise zor olan görevler sunar.
Örneğin, geleneksel bir CAPTCHA, bozulmuş harfler veya sayılar gösterip kullanıcının bunları yazmasını isteyebilir. İnsanların desen tanıma yeteneğinden faydalanan CAPTCHA'lar, çevrimiçi formların ve hizmetlerin botlar ve spam yazılımlar tarafından kötüye kullanılmasını büyük ölçüde engeller.
CAPTCHA nasıl çalışır?
Klasik CAPTCHA'lar, bozulmuş metni yorumlama veya belirli resimleri seçme gibi görevlere dayanır. Bozulma (örneğin, bozuk harfler ve üzerlerinde gürültü) basit OCR (Optik Karakter Tanıma) algoritmalarını şaşırtır.
Modern CAPTCHA çözümleri birkaç kategoriye evrilmiştir:
- Etkileşimli CAPTCHA: Kullanıcının aktif olarak bir bulmacayı çözmesi veya belirli bir işlemi gerçekleştirmesi gerekir. Örneğin, "Ben robot değilim" onay kutusu meydan okumaları buna dahildir. Onay kutusuna tıklandıktan sonra, kullanıcıdan trafik lambası veya dükkanın yer aldığı tüm resimleri seçmesini, görülen karakterleri yazmasını veya hatta sesli testleri tamamlamasını isteyebilir. Özellikle Cloudflare Turnstile ile, yalnızca onay kutusuna tıklanması insan eylemini doğrulamak için yeterlidir, karmaşık testler yoktur.
- Etkileşimli olmayan CAPTCHA: Kullanıcıyı bir bulmacayla ya da işlemle uğraştırmaz. Örneğin, Cloudflare Turnstile’in etkileşimsiz modu'nda ziyaretçiler yalnızca otomatik yükleme çubuğu olan küçük bir widget görür. Arka planda kontrol tamamlanır ve sessizce başarı ya da başarısızlık sonucu döner. Bu yaklaşım, kullanıcı deneyimini önceliklendirir.
- Görünmez veya pasif CAPTCHA: Tamamen arka planda çalışan, görünen hiçbir test içermeyen CAPTCHA’lardır. Örneğin, Google reCAPTCHA v3, kullanıcı davranışını (fare hareketleri, zamanlamalar, çerezler vb.) görünmez bir şekilde analiz edip bir risk skoru atar (0–1 arasında), doğrudan bir meydan okuma olmadan. Kullanıcılar genellikle yalnızca skor çok düşükse bir şey görür.
Ürüne CAPTCHA koruması eklemeli miyiz?
CAPTCHA kullanmak, güvenlik ile kullanıcı deneyimi arasında bir dengedir. Bir CAPTCHA hizmeti seçerken temel değerlendirme noktaları şunlardır:
Yapay zeka CAPTCHA testini aşabilir mi?
CAPTCHA’lar temel botlara karşı etkilidir fakat kararlı saldırganlar çeşitli karşı hamleler geliştirmiştir. Gelişmiş betikler veya yapay zeka destekli botlar, bazen CAPTCHA'ları OCR/görüntü tanıma ve makine öğrenimiyle aşabilir. Hatta saldırganların insanlara ya da özel yapay zekalara büyük ölçekte CAPTCHA çözdürdükleri bypass-as-a-service olarak adlandırılan hizmetler mevcuttur. Örneğin, Google’ın raporladığına göre eski metin CAPTCHA'ları botlar tarafından %99'dan fazla başarıyla çözülebiliyordu.
Ancak modern etkileşimsiz ve görünmez CAPTCHA’lar, davranış tabanlı veya kriptografik arka plan kontrolleriyle, yapay zekaya karşı daha iyi savunma sağlar. Özellikle bot trafiği artık çok büyük: İnternet trafiğinin %51’i civarında olup bunun %37’si kötü amaçlı. Bu nedenle, bazı CAPTCHA veya bot tespiti önlemlerine sahip olmak, kusursuz olmasa bile önemlidir.
Ayrıca, çok katmanlı bot koruması eklemek gereklidir: cihaz parmak izi alma (ör. passkey ile), oran sınırlama (rate limiting), Çok Faktörlü Kimlik Doğrulama gibi.
CAPTCHA eklemek kullanıcı deneyimini bozar mı?
Her CAPTCHA, kullanıcılar için bir miktar sürtünme ekler. Araştırmalar, insanların yalnızca yaklaşık %66’sının bir CAPTCHA’yı ilk denemede doğru girdiğini gösteriyor, yani çoğu kişi hayal kırıklığına uğrayabilir ya da formdan vazgeçebilir. Özellikle uzun süren görsel bulmacalar veya çoklu tekrar denemeleri dönüşüm oranlarını düşürebilir.
Bunu hafifletmek için, modern CAPTCHA sağlayıcıları insan eforunu minimize etmeye odaklanır. Bazı stratejiler:
- Yalnızca yüksek riskli olarak işaretlenen kullanıcıları uyarlamalı olarak zorlama.
- Bulmaca yerine müdahaleci olmayan sinyaller (fare hareketleri, zamanlamalar vb.) kullanmak.
- Sessiz çalışan görünmez CAPTCHA'lar sunmak.
Cloudflare, Turnstile’in “CAPTCHA’ların sinir bozucu deneyimini ortadan kaldırdığını” ve gerçek kullanıcıların “görsel bulmacaları çözmek için artık zaman ve enerji kaybetmek zorunda olmadığını” raporluyor. Pratikte, birçok site yalnızca kullanıcının davranışı şüpheli görünüyorsa onay kutusu veya görsel meydan okuma gösterir; normal kullanıcılar genellikle hiçbir şey görmez.
CAPTCHA, yapay zeka agent’larının üçüncü parti servislere erişimini engeller mi?
Günümüzde, giderek daha fazla yapay zeka agent’ı ortaya çıkıyor ve üçüncü parti hizmetlerle otomatik etkileşime girmek için tasarlanıyor.
Birçok alan-özgü yapay zeka agent’ı standart protokollerle (OAuth, MCP - Model Context Protocols) üçüncü parti uygulamalara güvenli ve yasal olarak bağlanır. Bu, kullanıcılara sorunsuzca yetki veren, güvenli ve onaylı bir yöntemdir.
Ancak, bazı iddialı “genel amaçlı” yapay zeka agent’ları insanın yaptığı her tarayıcı işleminin tamamını otomatikleştirmek ister. Örneğin Manus, birinin web tarayıcısında yapabileceği her şeyi otomatikleştirmek için tasarlanmıştır: Form doldurma, kullanıcı adı ve şifreyle giriş yapma vb. Gerçek dünya testlerinde, Manus, oturumu gerçek bir kişiye devretmek ve meydan okumayı manuel çözmek dahi denense, Cloudflare Turnstile ve Google reCAPTCHA Enterprise gibi modern yüksek güvenlikli CAPTCHA’ları aşmakta zorlanıyor. Bir yapay zeka agent’ı geliştiriyorsan, kimlik doğrulama akışlarını dikkatlice tasarlaman gerekir. Tarayıcı otomasyonuna insan gibi giriş yapma amacıyla güvenmek gitgide daha uygulanamaz hale geliyor; çünkü güçlü CAPTCHA’lar bot benzeri her etkileşimi çok iyi bir şekilde engelliyor.
CAPTCHA eklemek bütçeyi ne kadar artırır?
CAPTCHA hizmetleri ücretsizden ücretliye kadar geniş bir yelpazede sunulur. Ücretsiz planlar çoğunlukla kullanımı sınırlar veya temel özellikler verir. Örneğin:
- Cloudflare Turnstile, sınırsız kullanım ile ücretsizdir.
- Google’ın reCAPTCHA Essentials katmanı, ayda 10.000 değerlendirmeye kadar ücretsizdir; daha yüksek hacim veya gelişmiş özellikler için Standard veya Enterprise’a geçmek gerekir.
- hCaptcha, ücretsiz “Basic” katmanı sunar ve Pro/Enterprise için ücret talep eder (Örn: hCaptcha��’nın Pro planı aylık 100K istek için yaklaşık 99–139 $'dan başlar).
Beklenen trafik ve dönüşüm hedeflerinize göre her sağlayıcının plan sınırlarını ve fiyatlarını kontrol edin.
CAPTCHA kullanım senaryoları
CAPTCHA’lar genellikle botların sorun oluşturabileceği her yerde kullanılır. Yaygın senaryolar şunlardır:
- Kimlik doğrulama akışları: Kayıt, giriş ve şifre kurtarma akışlarını bot suistimaline karşı korur. CAPTCHA, betiklenmiş hesap saldırılarına karşı ilk savunma hattı olarak hizmet eder. Bunun yanında, kullanıcı kilitleme (kabaca brute force şifre denemelerini önlemek için) ve uyarlamalı MFA (risk algılandığında ek doğrulama katmanları eklemek için) gibi özelliklerle hem güvenlik güçlendirilir, hem de kullanıcı deneyimi akıcı kalır.
- Form gönderimleri: Açık formları (iletişim, geri bildirim, yorumlar, değerlendirmeler) korur. CAPTCHA olmadan, spammerlar yorum veya mesaj bölümlerini doldurabilir.
- Yüksek değerli işlemler: Online anketlerde, bilet satışlarında, promosyonlarda veya e-ticaret ödemelerinde sahtekarlığı engeller. CAPTCHA’lar toplu otomatik oylamayı veya bilet kapma işini sınırlayabilir (ör. bir ankette kişi başına tek oy, bilet satışında kişi başına bir bilet).
CAPTCHA’ları bu temas noktalarına ekleyerek, sistemi meşru kullanıcılar için açık tutarken otomatik suistimali önemli ölçüde azaltırsınız.
CAPTCHA sağlayıcılarını karşılaştırın
| CAPTCHA sağlayıcı | Kullanıcı deneyimi | Plan & fiyatlandırma |
|---|---|---|
| reCAPTCHA v2 (Google) | Kullanıcıların ”Ben robot değilim“ onay kutusuna tıklaması gerekir. Bu tıklama onları CAPTCHA görsel bulmacalarına yönlendirebilir veya yönlendirmeyebilir. | Ayda 10K değerlendirmeye kadar Ücretsiz (Essentials); sonra ücretli katmanlar (Standard/Enterprise). Enterprise: 100K'e kadar 8$, her 1K ek için 1$. |
| reCAPTCHA v3 (Google) | Görünmez, arka planda risk skoru (kullanıcıya meydan okuma yok). | reCAPTCHA v2 ile aynı fiyatlandırma |
| reCAPTCHA Enterprise (Google) | İki etkileşimli mod: 1. Skor tabanlı (meydan okuma yok). 2. Onay Kutusu ve uyarlamalı görsel meydan okuma. | Hacme göre fiyat: 10K'e kadar ücretsiz; 100K'e kadar 8$; sonrası için 1$/1K. Hesap koruyucu, SMS fraud koruması gibi ek özellikler sunar. |
| Cloudflare Turnstile | Üç etkileşimli mod: 1.Yönetilen: Hangi kullanıcının onay kutusu widget'ı göreceğine Cloudflare karar verir. 2. Etkileşimsiz: Tüm kullanıcılar otomatik yükleme widget'ı görür, asla widget ile etkileşime girmez. 3. Görünmez: Ziyaretçiler asla widget görmez veya etkileşime girmez. Görünmez test birkaç saniye sürer. | Neredeyse tamamen ücretsiz. Ücretsiz plan: 20’ye kadar CAPTCHA widget’ı, widget başına 15 hostname, sınırsız hacim. Enterprise: sınırsız widget. |
| hCaptcha | reCAPTCHA v2’ye benzer interaktif görsel sınıflandırma görevleri. Gizliliğe odaklıdır fakat bulmacalar karmaşık olabilir. | Aylık 100k isteğe kadar ücretsiz. Pro planı ~99$/ay. Enterprise: özel planlar. |
| FunCaptcha (Arkose Labs) | Oyunlaştırılmış mikro oyunlar (döndürme/kaydırma objeleri, basit quizler). Botları yenmek için daha ilgi çekici bulmacalar. | Ücretsiz katman yok. Sadece Enterprise çözümü sunar (Arkose Bot Management parçası). Fiyat için iletişime geçin. |
| Friendly Captcha | Tamamen görünmez proof-of-work bulmacası. Kullanıcıdan hiçbir eylem gerekmez, hepsi arka planda çözülür. | Ücretsiz ticari olmayan katman (1 domain, 1000 istek). Ücretli planlar: Starter €9/ay (1K istek); Growth €39/ay (5K); Advanced €200/ay (50K); Enterprise özel. |
| BotDetect (Captcha.com) | Harf/sayı ile geleneksel görsel veya sesli CAPTCHA. | Kendi sunucunda barındırılır ve lisans gerektirir. Ücretsiz plan yok. Yıllık yaklaşık 99$ lisans ücreti. |
Bunlar arasında, Cloudflare Turnstile bugün öne çıkıyor. Ücretsizdir, entegrasyonu kolaydır ve göze batmaz. Turnstile, meşru kullanıcılara bulmaca zorlamadan güçlü bot engellemesi sunar ve “veri toplamaz, reklam hedeflemesi için kullanmaz”, kullanıcı gizliliğine tam saygı gösterir. Çoğu site için Turnstile, güvenlik, kullanıcı deneyimi ve maliyet dengesi açısından en iyi seçimi sunar.
Giriş akışlarınızda CAPTCHA entegrasyonunu basitleştirin
CAPTCHA eklemenin en kolay yolu entegre bir kimlik yönetim platformu kullanmaktır.
Geliştirici dostu IAM çözümü Logto, Google reCAPTCHA Enterprise ve Cloudflare Turnstile gibi önde gelen sağlayıcıları destekler, böylece CAPTCHA korumasını yalnızca birkaç tıklama ile etkinleştirebilirsiniz.
Logto ile, tüm kimlik doğrulama akışlarınızı kompleks uygulamalarla uğraşmadan, kayıt, giriş, hesap kurtarma, SSO, MFA, çoklu kiracı yönetimi vb. dahil olmak üzere güvenceye alabilirsiniz. Logto’nun CAPTCHA’sı hakkında daha fazla bilgi edinin veya daha fazla CAPTCHA sağlayıcı seçeneği keşfetmek isterseniz ekibe ulaşın.