CAPTCHA 供應商採購指南 2025
了解現代 CAPTCHA 的運作方式。從功能、價格和整合技巧等角度,對比 Google reCAPTCHA、Cloudflare Turnstiles 等供應商。
什麼是 CAPTCHA?
CAPTCHA(完全自動化的公共圖靈測試,用來區分電腦和人類)是一種挑戰-回應機制,用來分辨真人用戶與自動程式(機器人)。它會提出人類容易、機器難做的任務。
例如,傳統 CAPTCHA 可能顯示扭曲的字母或數字,要求用戶輸入它們。透過人類圖形辨識能力,CAPTCHA 可以阻擋大多數腳本和垃圾機器人濫用線上表單與服務。
CAPTCHA 如何運作?
傳統 CAPTCHA 依賴於解讀扭曲文字或選擇特定圖片等任務。文字變形(如扭曲字母、加雜訊)能防止簡單的 OCR(光學字符識別)演算法識別。
現代 CAPTCHA 已發展成數種型態:
- 互動式 CAPTCHA: 用戶需主動解謎或執行特定操作。例如「我不是機器人」勾選方框。點擊後可能要求選出所有紅綠燈或店面的圖片、輸入顯示的字元、甚至進行語音測試。值得注意的是,Cloudflare Turnstile 只需簡單點擊勾選框即可驗證是否為人類,不需複雜驗證。
- 非互動式 CAPTCHA: 不會打斷用戶也不須解謎。例如 Cloudflare Turnstile 的非互動模式,訪客只會看到自動載入條的小型元件。它會在背景檢查,然後安靜地返回成功或失敗結果。這種方式最重視用戶體驗。
- 隱形或被動式 CAPTCHA: 完全在背景運行,沒有任何可見測試。例如 Google reCAPTCHA v3 會隱身分析用戶行為(滑鼠移動、時間、Cookie 等)來分配風險分數(0–1),不用任何直接挑戰。用戶除非分數太低,否則幾乎看不到任何東西。
產品是否應該加上 CAPTCHA 保護?
使用 CAPTCHA 是安全性與用戶體驗之間的取捨。選擇 CAPTCHA 服務時,主要考量包含:
AI 能否破解 CAPTCHA 挑戰?
CAPTCHA 對基本機器人很有效,但有心攻擊者也擁有對策。進階腳本或 AI 機器人有時能靠 OCR/圖像辨識與機器學習突破 CAPTCHA。甚至市面上有反 CAPTCHA 或求解服務(俗稱「繞過即服務」),攻擊者可付費給真人或專屬 AI 大量解題。例如 Google 曾指出舊式文本 CAPTCHA 被機器人解出率可超過 99%。
不過,現代非互動與隱形型態的 CAPTCHA,如基於行為或密碼學背景驗證,更能防禦 AI 攻擊。尤其現在機器人流量驚人:佔整個網路流量 51% 左右,其中 37% 為惡意塑。即使不是萬無一失,擁有某些 CAPTCHA 或機器人檢測仍非常重要。
此外,應強化多層次防護,例如裝置指紋識別(例如經由 passkey)、速率限制、多重驗證(MFA)。
加上 CAPTCHA 是否會損害用戶體驗?
任何 CAPTCHA 都會增加用戶摩擦。研究發現,只有約 66% 人類第一次輸入就正確通過 CAPTCHA,表示不少人可能會挫折或中途放棄表單。例如,冗長的圖像謎題或重複驗證會降低轉換率。
為改善這點,現代 CAPTCHA 強調降低人力成本。策略包括:
- 只針對高風險狀況自適應出題。
- 採用非侵入式訊號(滑鼠移動、時機等)取代問題。
- 提供靜默運作的隱形 CAPTCHA。
Cloudflare 表示 Turnstile「消除了惱人 CAPTCHA 體驗」,讓真正的用戶「不必再浪費時間解答畫面謎題」。實務上,多數網站只會在用戶行為可疑時,展示勾選框或圖片驗證,以正常流量則什麼都不會出現。
CAPTCHA 是否會阻擋 AI agent 存取第三方服務?
現在愈來愈多 AI agent 出現,專門自動化各類操作並與第三方服務互動。
很多特定領域 AI agent 透過標準協議像 OAuth 與 MCP(模型上下文協議)安全正當地連接到第三方應用。這能讓用戶順利授權代理人操作,非常安全且合規。
但有些「通用型」AI agent 企圖完全取代人類瀏覽行為。像 Manus 就是設計來自動填寫表單、登入、帳號密碼輸入等所有網頁行為。實際測試時,Manus 難以通過如 Cloudflare Turnstile 與 Google reCAPTCHA Enterprise 這類現代高安全性 CAPTCHA,即便用戶希望「交接」給真人幫忙手動解題也很難。如果你在打造 AI agent,建議要仔細設計認證流程。依賴瀏覽器自動化模仿人類登入,已愈來愈不可靠,因為強效 CAPTCHA 極擅於阻擋類機器人行為。
引入 CAPTCHA 會增加多少成本?
CAPTCHA 服務有免費也有付費方案。免費方案多有流量或功能限制。例如:
- Cloudflare Turnstile 完全免費且不限用量。
- Google 的 reCAPTCHA Essentials 免費,每月最多 1 萬次評估,流量更高或進階功能需升級。
- hCaptcha 提供「Basic」免費版,Pro/Enterprise 收費(如 hCaptcha Pro 約 $99–$139/月,含 10 萬次請求)。
請務必根據自身流量與目標檢查各家供應商的方案限制與定價。
CAPTCHA 使用情境
通常在機器人有機會造成麻煩時部署 CAPTCHA。常見情境包括:
- 驗證流程: 防止註冊、登入、密碼找回等受機器人濫用。CAPTCHA 作為防禦自動攻擊的第一線。進一步建議配合 登入鎖定(阻擋密碼暴力破解)及自適應 MFA(偵測風險時提升驗證強度),增加安全性同時維持流暢體驗。
- 表單提交: 保護公開表單(如聯絡、意見、評論、評價)。沒 CAPTCHA,垃圾訊息很容易灌爆留言區。
- 高價值動作: 防止線上投票、票券銷售、促銷或電商結帳被濫用。CAPTCHA 限制自動灌票或搶票(如同一人只能投一票、買一張票)。
在這些關鍵點加上 CAPTCHA,可大幅減少自動化濫用,同時讓正當用戶順利存取。
比較 CAPTCHA 供應商
CAPTCHA 供應商 | 用戶體驗 | 方案與價格 |
---|---|---|
reCAPTCHA v2 (Google) | 用戶需點擊「我不是機器人」勾選框。此點擊可能會要求圖片驗證也可能不會。 | 免費(Essentials)每月最多 1 萬次。超出升級付費(Standard/Enterprise),Enterprise $8(10 萬次內),超出每千次 $1。 |
reCAPTCHA v3 (Google) | 隱形、背景風險評分(用戶無需解題)。 | 與 reCAPTCHA v2 相同價階 |
reCAPTCHA Enterprise (Google) | 兩種互動模式:1. 基於分數(無需解題)2. 勾選框和自適應視覺挑戰 | 按量計價:免費(1 萬),10 萬次 $8,超出每千 $1。額外支援帳號防禦、簡訊詐騙防護等功能。 |
Cloudflare Turnstile | 三種互動:1. 自動模式 Cloudflare 決定哪些用戶看到勾選框 2. 非互動:所有用戶僅見自動加載,無需互動。3. 隱形:訪客完全看不見元件,挑戰僅需數秒。 | 幾乎完全免費:20 個 CAPTCHA 元件、每元件 15 個 hostname、流量不限。Enterprise:元件數不限。 |
hCaptcha | 互動式影像分類(類似 reCAPTCHA v2),重視隱私,但謎題或許複雜。 | 免費(每月 10 萬次);Pro ~$99/月;企業版客制 |
FunCaptcha (Arkose Labs) | 遊戲化微型遊戲(轉動畫像、簡單小測驗),謎題更有趣,難倒機器人。 | 無免費。僅企業方案(Arkose Bot Management 一部份),詢價制 |
Friendly Captcha | 完全隱形工作量證明。用戶無需操作,一切後台完成。 | 免費非商用(1 網域,1000 次),付費 Starter €9/月(1 千次)、Growth €39(5 千次)、Advanced €200(5 萬次)、企業客製 |
BotDetect (Captcha.com) | 傳統圖像/語音 CAPTCHA(字母/數字) | 自架授權制。無免費,約 $99/年 |
以上眾多選擇中,Cloudflare Turnstile 今日最出色。它免費、整合簡單、不會打擾用戶。Turnstile 堅實防機器人,同時「絕不蒐集資料用於廣告追蹤」,完全尊重用戶隱私。多數網站選它,都能在安全性、使用者體驗、成本達到最好平衡。
簡化登入流程的 CAPTCHA 整合
最簡單開啟 CAPTCHA 的方式,就是用內建型的身份驗證平台。
Logto 是對開發者友善的身份存取管理(IAM)方案,支援主流專家如 Google reCAPTCHA Enterprise 跟 Cloudflare Turnstile,讓你幾個點擊就能啟用 CAPTCHA。
透過 Logto,你的團隊能保護整體認證流程而無需繁瑣實作,包含註冊、登入、帳號恢復、單一登入、MFA、多租戶管理等。詳情請參考 Logto 的 CAPTCHA 文件,或聯絡團隊 詢問更多 CAPTCHA 選擇。