Inloggen
Gratis proefabonnement

Wat is onzichtbare CAPTCHA? Hoe het werkt en waarom het belangrijk is

Illustratie van een onzichtbaar CAPTCHA-systeem met een websiteformulier, een spook dat verborgen verificatie symboliseert en een dashboard met het label “Bewijs van werk” dat “Gebruiker geverifieerd” bevestigt door middel van geautomatiseerde achtergrondcontroles.
captcha.eu

Onzichtbare CAPTCHA heeft als doel om gebruikers op de achtergrond te verifiëren met weinig of geen zichtbare interactie: geen puzzels, geen selectievakjes, geen wrijving voor de meeste gebruikers. Maar “onzichtbaar” dekt twee fundamenteel verschillende technische benaderingen en sommige implementaties gaan nog steeds zichtbare uitdagingen aan voor verkeer dat ze niet kunnen classificeren. Inzicht in het verschil helpt je de juiste oplossing te kiezen en de verborgen compliance- en toegankelijkheidskosten van de verkeerde oplossing te vermijden.

Geschatte leestijd: 1 minute

Probeer CAPTCHA.eu gratis - zonder creditcard
Alle integraties weergeven

In een oogopslag

Wat het is

Verificatie die automatisch op de achtergrond draait met weinig of geen zichtbare interactie: geen puzzels of selectievakjes voor de meeste gebruikers, terwijl bots worden gestopt.

Twee zeer verschillende benaderingen

Gedragstracking (op basis van surveillance) versus proof-of-work (op basis van berekening). Hetzelfde resultaat voor gebruikers, maar totaal verschillende gevolgen voor gegevensverzameling, cookies en GDPR.

Waarom de keuze belangrijk is

Gedragssystemen vereisen vaak cookies en een toestemmingsbanner. Proof-of-work systemen hebben geen van beide nodig. Uit onderzoek van Stanford is gebleken dat traditionele CAPTCHA formulierconversies tot 40% verlaagt; onzichtbare CAPTCHA kan die daling aanzienlijk verminderen of elimineren.

Wat deze gids behandelt

Waarom zichtbare CAPTCHA een probleem werd

De traditionele CAPTCHA ging uit van een redelijke veronderstelling: toon gebruikers iets dat een computer niet gemakkelijk kan oplossen (een vervormd woord, een raster van stoplichten, een eenvoudig selectievakje) en degenen die slagen zijn waarschijnlijk menselijk. Voor een tijdje werkte dat. Toen veranderden er twee dingen tegelijkertijd.

Ten eerste zijn AI-gebaseerde tools in staat om de meeste visuele uitdagingen sneller en nauwkeuriger te verslaan dan mensen. AI-gebaseerde tools en CAPTCHA-oplosdiensten hebben de beveiligingswaarde van visuele CAPTCHA-opgaven aanzienlijk verzwakt; geautomatiseerde oplossers kunnen nu veel voorkomende formaten met hoge nauwkeurigheid oplossen. CAPTCHA farms, diensten die uitdagingen in realtime doorsturen naar menselijke medewerkers, doen al het andere. Het veiligheidsargument voor visuele CAPTCHA is aanzienlijk verzwakt.

Ten tweede werden de kosten voor legitieme gebruikers moeilijker te rechtvaardigen. Uit een onderzoek van de Universiteit van Stanford bleek dat traditionele CAPTCHA de conversie van formulieren tot 40% vermindert. Gebruikers met visuele beperkingen, motorische handicaps of cognitieve verschillen worden geconfronteerd met uitdagingen die niet alleen lastig zijn, maar ook echt onbruikbaar. De eigen documentatie van het W3C over CAPTCHA-toegankelijkheid concludeert dat interactieve uitdagingen fundamentele toegankelijkheidsbarrières opwerpen die niet volledig worden opgelost door alternatieven en workarounds.

Deze twee factoren samen, afnemende beveiligingseffectiviteit en stijgende gebruikerskosten, dreven de markt in de richting van onzichtbare verificatie. De vraag is wat onzichtbaar in de praktijk betekent, want het antwoord verschilt aanzienlijk tussen implementaties.

Wat onzichtbare CAPTCHA eigenlijk betekent

Een onzichtbare CAPTCHA verifieert gebruikers zonder ze iets te vragen. Er is geen selectievakje om op te klikken, geen afbeelding om te interpreteren, geen tekst om te typen. De verificatie wordt automatisch op de achtergrond uitgevoerd terwijl de gebruiker een formulier invult, een pagina laadt of door een beveiligd eindpunt navigeert. Tegen de tijd dat ze op verzenden drukken, is de controle al klaar.

Vanuit het perspectief van de gebruiker is de ervaring identiek, of ze nu onmiddellijk worden geverifieerd of dat er een intensievere controle wordt uitgevoerd, omdat ze geen van beide zien. Dat is het voordeel voor de gebruikerservaring: geen wrijving voor echte gebruikers, geen afhaken door een beveiligingsstap die ze niet eens hebben opgemerkt.

Vanuit een technisch perspectief beschrijft onzichtbaar echter niet één methode. Het beschrijft een resultaat (geen zichtbare interactie) dat twee zeer verschillende architecturen op zeer verschillende manieren bereiken. De ene kijkt naar wat gebruikers doen. De andere laat de computer van de gebruiker achtergrondwerk doen. Beide produceren hetzelfde wrijvingsloze resultaat, maar de onderliggende mechanismen, de gegevens die ze verzamelen en de nalevingsverplichtingen die ze creëren zijn totaal verschillend.

De twee soorten onzichtbare CAPTCHA: waarom het verschil belangrijk is

Het onderscheid dat de meeste artikelen missen

Onzichtbare CAPTCHA klinkt als één ding, maar heeft betrekking op twee totaal verschillende architecturen. De ene kijkt naar wat je doet. De andere laat je browser een klein beetje rekenwerk doen. Dat verschil bepaalt je privacy, je GDPR compliance positie, of je een cookie consent banner nodig hebt en of gebruikers met een handicap ooit een uitdaging tegenkomen. De uitkomst voor de meeste gebruikers ziet er hetzelfde uit. Alles daaronder is anders.

Type 1: Gedrag (op basis van toezicht)

Type 1: Gedrag - Voorbeelden: reCAPTCHA v3, hCaptcha onzichtbare modus, Cloudflare Turnstile (gedeeltelijk)

Deze systemen observeren wat gebruikers doen en verzamelen signalen: muisbewegingspatronen, typegedrag, scrollgedrag, browser fingerprint, IP-reputatie en soms cross-site geschiedenis. Deze worden door een risicomodel gehaald en leveren een score op. De sitebeheerder beslist wat hij met de score doet: de gebruiker toelaten, blokkeren of uitdagen.

Gedragssystemen zijn zeer effectief in het onderscheiden van typische menselijke interactiepatronen van botverkeer. Als er veel gedragssignalen beschikbaar zijn, werken ze goed. De implicaties voor privacy en compliance zijn echter aanzienlijk:

  • Het verzamelen van gedragsgegevens, waaronder muisbewegingen, typpatronen en apparaatkenmerken, vormt in de meeste interpretaties een verwerking van persoonsgegevens onder GDPR, waarvoor een rechtsgrondslag en documentatie nodig zijn.
  • Veel gedragssystemen plaatsen cookies. Google bevestigt dat de _grecaptcha cookie blijft staan na de wijziging van de reCAPTCHA-processor in april 2026. Die cookie moet worden beoordeeld volgens de nationale ePrivacy-regels, los van de GDPR-analyse. In veel EU-jurisdicties is voor niet-essentiële cookies expliciete toestemming vereist, ongeacht de GDPR-rechtsgrondslag voor de onderliggende verwerking.
  • Wanneer gedragssignalen beperkt zijn (omdat een gebruiker een VPN, privacybrowser of advertentieblokker gebruikt, of omdat ondersteunende technologie atypische interactiepatronen creëert), stijgt de risicoscore en kan het systeem een zichtbare uitdaging vormen. Deze gebruikers hebben een onevenredig grote kans om legitieme gebruikers te zijn met privacyvoorkeuren of toegankelijkheidsbehoeften. Onzichtbaarheid is niet voor iedereen gegarandeerd.

Onzichtbaar betekent niet cookieloos. Een CAPTCHA die onzichtbaar is voor gebruikers kan nog steeds tracking cookies plaatsen, gedragsgegevens verzamelen en toestemmingsvereisten activeren onder de ePrivacy Richtlijn. Onzichtbaarheid beschrijft de gebruikerservaring, niet de gegevensarchitectuur. Voor Europese websitebeheerders zijn dit twee aparte nalevingskwesties die een aparte analyse vereisen.

Type 2: Proof-of-work (op berekening gebaseerd)

Type 2: Bewijs van werk - Voorbeelden: CAPTCHA.eu, Friendly Captcha, ALTCHA

Deze systemen vragen de browser van de gebruiker om op de achtergrond een kleine cryptografische puzzel op te lossen. De browser voert een berekening uit, genereert een verifieerbaar bewijs en verstuurt dit samen met het formulier. Proof-of-work is de basis van de beveiliging: geen cookies, geen persistente gebruikersprofielen, geen cross-site tracking. Veel moderne implementaties voegen ook contextsignalen toe (timing van verzoeken, omgevingskenmerken) om de moeilijkheidsgraad van puzzels adaptief te schalen, zonder individuele gebruikers te profileren.

Voor een legitieme gebruiker voltooit deze berekening onzichtbaar terwijl hij het formulier invult, meestal in minder dan een seconde. Voor een bot die duizenden aanvragen per minuut doet, moet bij elke poging die rekenpuzzel worden opgelost. De kosten van de aanval schalen lineair met het volume, waardoor grootschalige geautomatiseerde aanvallen economisch onpraktisch worden in plaats van alleen maar lastig.

Dit is het belangrijkste structurele verschil tussen proof-of-work en gedragsmatige benaderingen. Gedragssystemen slaan alarm als ze verdachte patronen ontdekken. Proof-of-work systemen verhogen de kosten van elke poging, verdacht of niet. Rate limiting zegt “je mag maar X keer per minuut proberen”. Proof-of-work zegt “elke poging kost rekenkracht”. Een gedistribueerde aanvaller kan snelheidslimieten omzeilen door verzoeken over duizenden IP's te verspreiden. Ze kunnen proof-of-work niet omzeilen zonder elke keer de puzzel op te lossen.

De sterkste proof-of-work implementaties combineren PoW met contextuele signaalanalyse, waarbij wordt gekeken naar aanvraagpatronen, timing en omgevingskenmerken, om de moeilijkheidsgraad van de puzzel te schalen op basis van risico zonder individuele gebruikers te profileren. CAPTCHA.eu gebruikt deze gelaagde aanpak: cryptografisch proof-of-work vormt de basis van de beveiliging en contextuele signalen geven aan hoe veeleisend de puzzel is voor een gegeven verzoek. Het resultaat is een meer adaptieve beveiliging dan pure PoW alleen, met dezelfde privacy-first architectuur: geen cookies, geen cross-site tracking, geen individuele gebruikersprofielen gebouwd of opgeslagen.

Friendly Captcha hanteert een vergelijkbare gelaagde aanpak, waarbij PoW wordt gecombineerd met wat zij beschrijven als een “wereldwijde risicodatabase”: een gedeelde pool van informatie over bedreigingen in hun klantenbestand. Dit gedeelde databasemodel is effectief, maar introduceert een laag voor gegevensverzameling tussen verschillende klanten. De signaalanalyse van CAPTCHA.eu werkt per aanvraag zonder gegevens over sites of klanten samen te voegen, wat een belangrijk onderscheid is voor organisaties met strenge eisen op het gebied van gegevensminimalisatie.

Waarom proof-of-work echt kokieloos is, zelfs met signaalanalyse

In tegenstelling tot gedragssystemen die afhankelijk zijn van cookies voor cross-session identificatie, heeft de CAPTCHA met bewijs van werk geen cookies nodig om te functioneren. Verificatie is afhankelijk van het cryptografische bewijs. Contextuele signalen (timing, omgeving) die moderne implementaties gebruiken om de moeilijkheidsgraad van de puzzel te schalen, worden per aanvraag geëvalueerd en vereisen geen persistente browseropslag of cross-session tracking. Er worden geen cookies ingesteld door de CAPTCHA-laag, waardoor de technische basis voor een toestemmingsvereiste voor cookies onder ePrivacy in de meeste EU-rechtsgebieden verdwijnt. Er wordt geen overhead voor toestemmingsbeheer geïntroduceerd wanneer je het toevoegt aan een aanmeldings- of registratiestroom.

Gedrag vs. proof-of-work in een oogopslag

De vergelijking tussen de twee benaderingen wordt het duidelijkst in een tabel:

KENMERKEN
GEDRAG (RECAPTCHA V3, HCAPTCHA)
BEWIJS-VAN-WERK (CAPTCHA.EU, VRIENDELIJKE CAPTCHA)
Interactie van de gebruiker vereist
Nooit (tenzij gemarkeerd)
Nooit
Verzamelde gegevens
Gedragssignalen, apparaat vingerafdruk, mogelijk cross-site geschiedenis
Cryptografische proof-of-work plus contextuele signaalanalyse; geen cookies, geen individuele gebruikersprofielen, geen cross-site tracking
Cookies ingesteld
Ja (bijv. _grecaptcha blijft bestaan na april 2026)
Geen
Toestemming voor ePrivacy waarschijnlijk nodig
Ja, in de meeste rechtsgebieden van de EU
Geen
Valt terug op zichtbare uitdaging
Ja, voor gebruikers die als verdacht zijn gemarkeerd
In de meeste implementaties past de moeilijkheidsgraad zich onzichtbaar aan zonder visuele uitdaging. Sommige PoW-producten bieden ook optionele getrapte verificatie voor gevallen met een hoger risico.
Beveiligingsmechanisme
Risicoscores gebaseerd op gedragstoezicht
Berekeningskosten per verzoek; schaalt met aanvalsvolume
Impact op toegankelijkheid
AT-gebruikers kunnen valse positieven veroorzaken en zichtbare uitdagingen ontvangen
In uitdagingsvrije implementaties, volledig toegankelijk door architectuur. Sommige PoW-producten bieden ook optionele getrapte verificatie voor gevallen met een hoger risico.
EU-gegevens hosten
VS-gebaseerd (Google, Cloudflare) tenzij EU-eindpunt geselecteerd
CAPTCHA.eu: Oostenrijk; Friendly Captcha: Duitsland

CAPTCHA.eu: onzichtbare CAPTCHA met bewijs van werk, gehost in Oostenrijk

Geen beeldpuzzels. Geen cookies. Geen gedragsprofilering. Alle gegevens verwerkt in Oostenrijk onder EU-wetgeving. Onafhankelijk gecertificeerd door TÜV Oostenrijk volgens WCAG 2.2 AA. 100 gratis controles om te beginnen.

Gratis proefabonnement starten
Alle integraties bekijken

Onzichtbare CAPTCHA en toegankelijkheid

Toegankelijkheid is waar de twee benaderingen in de praktijk het meest van elkaar verschillen. Voor de meeste gebruikers zien beide er identiek uit: er gebeurt niets. Voor gebruikers die afhankelijk zijn van ondersteunende technologieën is het verschil belangrijk.

Behavioral CAPTCHA systemen bepalen het risico op basis van interactiepatronen. Gebruikers die navigeren met alleen toetsenbordinvoer, schermlezers, schakelapparatuur of andere ondersteunende technologieën produceren interactiepatronen die afwijken van typische gebruikers met muis en toetsenbord. Deze atypische patronen kunnen leiden tot verhoogde risicoscores, waardoor het systeem terugvalt op een zichtbare uitdaging. De gebruiker die het meest behoefte heeft aan wrijvingsloze toegang is degene die het meest waarschijnlijk wrijving zal ondervinden.

De W3C notitie Inaccessibility of CAPTCHA documenteert deze spanning rechtstreeks: “de aard van de interactieve taak sluit inherent veel mensen met een handicap uit”. WCAG 2.2’s Succes Criterium 3.3.8 (Toegankelijke Authenticatie, Niveau AA) gaat verder en verbiedt cognitieve functietesten in authenticatiestromen. Dit criterium werd vanaf juni 2025 wettelijk bindend onder de Europese toegankelijkheidswet voor bedrijven die EU-klanten bedienen.

Proof-of-work CAPTCHA omzeilt dit volledig. Er is geen uitdaging om te triggeren, geen patroon om verkeerd te lezen, geen fallback die iedereen uitsluit. De cryptografische berekening wordt op dezelfde manier uitgevoerd, ongeacht hoe de gebruiker navigeert, welk apparaat hij gebruikt of welke ondersteunende technologie actief is. Er hoeft geen toegankelijk alternatief te worden geboden omdat er om te beginnen geen uitdaging wordt gepresenteerd.

CAPTCHA.eu heeft een onafhankelijke WCAG 2.2 AA certificering van TÜV Oostenrijk, geverifieerd aan de hand van de volledige toegankelijkheidsstandaard. Deze certificering heeft betrekking op de verificatiestroom zelf, niet alleen op de omringende interface.

Onzichtbare CAPTCHA en conversiepercentages

De business case voor onzichtbare CAPTCHA is eenvoudig: verificatie die gebruikers nooit opmerken kan er niet toe leiden dat ze een formulier verlaten. Traditionele CAPTCHA creëert een aparte stap in een stroom die er voorheen niet was. Sommige gebruikers haken bij die stap af. Onzichtbare CAPTCHA verwijdert of vermindert die wrijving aanzienlijk.

Onderzoek van Stanford University heeft de wrijving gekwantificeerd: traditionele CAPTCHA-uitdagingen verminderen de conversie van formulieren met wel 40%. Uit onderzoek van HUMAN Security bleek dat 40% van de echte shoppers een aankoop had afgebroken specifiek vanwege CAPTCHA-wrijving. Deze cijfers weerspiegelen een specifiek type gebruiker met een hoge intentie: iemand die de actie wilde voltooien, maar stopte vanwege de beveiligingscontrole.

De stromen waarbij dit het meest van belang is, zijn precies de stromen die het meest waarschijnlijk CAPTCHA zullen bevatten: inloggen, registreren, afrekenen, contactformulieren en het resetten van wachtwoorden. Dit zijn de interacties met de hoogste waarde op de meeste websites. Onzichtbare CAPTCHA beschermt ze zonder een bron van drop-off te worden.

Proof-of-work kan een secundair conversievoordeel toevoegen omdat uitdagingsvrije implementaties geen zichtbare puzzels aangaan wanneer signalen beperkt of dubbelzinnig zijn. Gedragssystemen die uitdagingen tonen aan “verdachte” gebruikers tonen ook uitdagingen aan privacybewuste gebruikers, VPN-gebruikers en gebruikers van ondersteunende technologie, groepen die door gedragsscores vaak verkeerd worden geclassificeerd. Proof-of-work behandelt al deze gebruikers identiek: onzichtbare verificatie, geen uitdaging, geen wrijving.

Welke stromen profiteren het meest van onzichtbare CAPTCHA?

Onzichtbare CAPTCHA verbetert de beveiliging en gebruikerservaring op elke stroom waar botverkeer een probleem vormt. Geef prioriteit aan deze eindpunten:

  • Aanmeldingsformulieren. Het primaire doelwit voor credential stuffing en brute force aanvallen. Onzichtbare CAPTCHA verhoogt de computerkosten van elke aanmeldpoging, waardoor grootschalige geautomatiseerde aanvallen onpraktisch worden zonder gevolgen voor legitieme gebruikers.
  • Registratie en account aanmaken. Bots maken valse accounts aan voor fraude, spam en promotiemisbruik. Onzichtbare CAPTCHA bij registratie blokkeert het aanmaken van nepaccounts in bulk voordat het je database bereikt.
  • Wachtwoord reset stromen. Aanvallers gebruiken resetstromen om geldige accounts op te sommen of accountovername te initiëren. Het beschermen van het reset-eindpunt met onzichtbare CAPTCHA voegt een laag toe zonder wrijving toe te voegen op een toch al frustrerend moment voor legitieme gebruikers.
  • Contact- en leadformulieren. Spam op formulieren drijft de operationele kosten op: het vult CRM-systemen met junkgegevens en verspilt tijd van het team. Onzichtbare CAPTCHA vermindert het aantal spam-inzendingen zonder de echte vragen te beïnvloeden.
  • Afrekenen en betalen. Carding-aanvallen testen gestolen kaartnummers op grote schaal tegen kassa-eindpunten. Onzichtbare CAPTCHA verhoogt de kosten van elke testpoging en beschermt inkomsten zonder legitieme klanten te vertragen.
  • API-authenticatie-eindpunten. API endpoints, die vaak over het hoofd worden gezien omdat ze geen visuele interface hebben, zijn vaak doelwitten voor geautomatiseerd misbruik. Onzichtbare CAPTCHA integreert op de API-laag zonder de ontwikkelaarservaring voor legitieme bellers te veranderen.

De EU-dimensie: GDPR, ePrivacy en de cookie-kwestie

Europese websitebeheerders worden geconfronteerd met een specifieke nalevingskwestie die in de meeste artikelen over onzichtbare CAPTCHA's niet direct aan de orde komt: zelfs als een CAPTCHA onzichtbaar is voor gebruikers, creëert deze dan verplichtingen met betrekking tot cookies of gegevensverwerking waarvoor een toestemmingsbanner nodig is?

Het antwoord hangt af van het type onzichtbare CAPTCHA dat je gebruikt, en het is niet hetzelfde antwoord voor beide types.

Voor onzichtbare CAPTCHA op gedrag is het antwoord vaak ja. Google bevestigt in zijn eigen FAQ van april 2026 dat de _grecaptcha cookie blijft ongewijzigd na de reCAPTCHA controller-naar-verwerker switch. Die cookie moet worden beoordeeld volgens de nationale ePrivacy-regels, een andere analyse dan GDPR. In de meeste EU-lidstaten vereisen niet-essentiële cookies opt-in toestemming voordat ze worden ingesteld. Of de _grecaptcha cookie in aanmerking komt als essentieel voor beveiligingsdoeleinden is een juridische vraag die afhangt van de implementatie en de jurisdictie, en regelgevende instanties in Frankrijk (CNIL) en Oostenrijk hebben vastgesteld dat reCAPTCHA implementaties zonder goede toestemmingskaders niet in overeenstemming waren met de regelgeving. Het praktische resultaat: een onzichtbare CAPTCHA vereist vaak een update van een cookiebanner en mogelijk een toestemmingsstroom waarvan je door het woord “onzichtbaar” zou kunnen denken dat je die had vermeden.

Voor proof-of-work onzichtbare CAPTCHA is het antwoord nee voor de CAPTCHA-laag zelf. Er worden geen cookies ingesteld, er wordt geen permanente browseropslag gebruikt en er worden geen persoonlijke gedragsgegevens verzameld of verzonden door het CAPTCHA mechanisme. Voor CAPTCHA's zonder cookieless proof-of-work verwijdert de CAPTCHA-laag gewoonlijk de vraag over toestemming met cookies en vermindert de compliance-overhead aanzienlijk. Exploitanten moeten de dienst nog steeds nauwkeurig documenteren in hun privacyverklaring en materialen voor leveranciersbeoordelingen. CAPTCHA.eu verwerkt alle gegevens in Oostenrijk onder EU-jurisdictie, met een standaard DPA beschikbaar. Alle verwerking vindt plaats binnen de jurisdictie van de EU.

Voor websitebeheerders die al hebben geïnvesteerd in een infrastructuur voor toestemmingsbeheer, lijkt dit onderscheid misschien niet zo groot. Voor beheerders die de compliance overhead bij het inloggen en verifiëren tot een minimum proberen te beperken, waar het vragen om toestemming van cookies voor het inloggen zijn eigen bruikbaarheidsproblemen creëert, is het een belangrijk praktisch verschil.

De bovenstaande analyse beschrijft het algemene technische en wettelijke kader. Specifieke nalevingsverplichtingen zijn afhankelijk van uw implementatie, de toepasselijke nationale wetgeving en het advies van uw juridisch adviseur. Voor meer details over hoe de reCAPTCHA wijzigingen van april 2026 GDPR compliance specifiek beïnvloeden, zie onze analyse: Is reCAPTCHA GDPR-compliant in 2026?

Voeg vandaag nog onzichtbare, cookieloze CAPTCHA toe aan uw aanmeldingsstroom

CAPTCHA.eu integreert in enkele minuten met WordPress, TYPO3, Keycloak, Magento en aangepaste stacks. Austria-hosted, geen cookies, geen puzzels, geen compliance overhead.

Gratis proefabonnement starten
Bekijk hoe inlogmisbruik werkt

Hoe evalueer je een onzichtbare CAPTCHA voor je website?

Vier vragen snijden door de meeste marketingtaal rond onzichtbare CAPTCHA heen en dringen door tot de operationele realiteit:

  • Worden er cookies geplaatst of persoonlijke gegevens verzameld?

    Zo ja, dan moet je beoordelen of deze cookies ePrivacy-toestemming vereisen in jouw rechtsgebieden, en of de onderliggende verwerking een GDPR-rechtsgrondslag en een update van de privacyverklaring vereist. Dit is geen deal-breaker, maar het is een overhead die een proof-of-work alternatief volledig elimineert.

  • Zal het ooit een zichtbare uitdaging laten zien aan een echte gebruiker?

    Gedragssystemen vallen terug op zichtbare uitdagingen voor gebruikers die ze niet met zekerheid kunnen classificeren. Proof-of-work systemen passen in plaats daarvan de rekenmoeilijkheid aan en blijven hoe dan ook onzichtbaar. Als je publiek bestaat uit gebruikers van privacy-tools, VPN-gebruikers of gebruikers van ondersteunende technologie, dan zal een gedragssysteem een aantal van hen uitdagen.

  • Is het onafhankelijk gecertificeerd volgens een toegankelijkheidsstandaard?

    Zelfcertificering is eenvoudig te claimen. Een onafhankelijke certificering tegen WCAG 2.2 AA van een geaccrediteerde instantie (zoals TÜV Austria voor CAPTCHA.eu) betekent dat de toegankelijkheidsclaim extern is geverifieerd.

  • Waar worden gegevens verwerkt?

    Voor Europese aanbieders betekent Oostenrijk of Duitsland EU-jurisdictie zonder complexe grensoverschrijdende overdracht. Aanbieders die in de VS gevestigd zijn, hebben actieve overdrachtsmechanismen nodig (Standard Contractual Clauses of gelijkwaardig) die gedocumenteerd en periodiek herzien moeten worden.

Dit kader toepassen op de belangrijkste opties:

reCAPTCHA v3: Gedrag. Stelt de _grecaptcha-cookie in (bevestigd persistent na april 2026). Kan terugvallen op zichtbare uitdagingen. Geen onafhankelijke toegankelijkheidscertificering voor de onzichtbare modus. Verwerking in de VS. Vereist doorlopend nalevingsbeheer voor Europese implementaties.

Cloudflare tourniquet: Gedeeltelijk gedrag, gedeeltelijk niet-interactief. Stelt een cf_clearance cookie in bij sommige configuraties. Valt over het algemeen niet terug op puzzels voor de meeste gebruikers, maar kan onder sommige omstandigheden problemen opleveren. Eerst privacy, maar gebaseerd op de VS. Beter dan reCAPTCHA op het gebied van privacy maar niet volledig cookieloos.

CAPTCHA.eu: Proof-of-work gecombineerd met contextuele signaalanalyse: geen cookies, geen profilering van individuele gebruikers, geen samenvoeging van websiteoverschrijdende gegevens. Signaalanalyse schaalt puzzelmoeilijkheid per verzoek zonder gedragsprofielen op te bouwen. Nooit terugvaluitdagingen. Onafhankelijk gecertificeerd door TÜV Oostenrijk tegen WCAG 2.2 AA. Oostenrijks bedrijf, alle gegevens verwerkt onder EU-wetgeving. Transparante prijzen met een gratis niveau. Speciaal gebouwd voor Europese nalevingseisen.

Vriendelijke Captcha: Proof-of-work gecombineerd met risicosignalen van een wereldwijd gedeelde bedreigingsdatabase in hun klantenbestand. Geen cookies. Geen fallback-uitdagingen. Onafhankelijk gecertificeerd tegen WCAG 2.2 AA. In Duitsland gevestigd. Sterke EU-nalevingspositie. Het risicomodel voor gedeelde databases is effectief; organisaties met strenge eisen voor dataminimalisatie per aanvraag moeten dit toetsen aan hun eigen beleid. Enterprise-prijzen op hogere niveaus.

ALTCHA: Open-source proof-of-work. Zelf gehoste optie biedt maximale gegevenssoevereiniteit. Geen cookies, geen gegevensstromen van derden. Voldoet aan WCAG 2.2 AA. Vereist technische middelen om te hosten en te onderhouden. Goed voor teams met een nultolerantie voor gegevensverwerking door derden.

Veelgestelde vragen

Wat is onzichtbare CAPTCHA?

Onzichtbare CAPTCHA is een vorm van botbeveiliging die gebruikers op de achtergrond verifieert zonder ze te vragen puzzels op te lossen, vakjes aan te vinken of te reageren op een uitdaging. De verificatie wordt automatisch uitgevoerd terwijl de gebruiker een formulier invult of een actie uitvoert op de pagina. Vanuit het perspectief van de gebruiker gebeurt er niets. Bots worden geïdentificeerd en geblokkeerd.

Is onzichtbare CAPTCHA hetzelfde als reCAPTCHA v3?

Nee. reCAPTCHA v3 is een voorbeeld van onzichtbare CAPTCHA en gebruikt een gedragsmatige aanpak: het kijkt hoe gebruikers met de pagina omgaan en kent een risicoscore toe. Proof-of-work onzichtbare CAPTCHA (gebruikt door CAPTCHA.eu en Friendly Captcha) werkt anders: het vraagt de browser om een kleine cryptografische puzzel op de achtergrond op te lossen. Beide hebben geen zichtbare interactie voor de meeste gebruikers, maar ze verschillen aanzienlijk in gegevensverzameling, cookies, GDPR-implicaties en toegankelijkheidsgedrag.

Werkt onzichtbare CAPTCHA zonder cookies?

Dit hangt af van de implementatie. Gedragsloze CAPTCHA (reCAPTCHA v3, hCaptcha) plaatst cookies. Google bevestigt dat de _grecaptcha-cookie blijft bestaan na de wijzigingen in reCAPTCHA van april 2026. Proof-of-work onzichtbare CAPTCHA (CAPTCHA.eu, Friendly Captcha, ALTCHA) vereist geen cookies. Verificatie is gebaseerd op het cryptografische bewijs, niet op cross-session gebruikersidentificatie.

Is onzichtbare CAPTCHA toegankelijk voor gebruikers met een handicap?

Challenge-free proof-of-work implementaties kunnen volledig toegankelijk zijn voor architectuur omdat ze niet afhankelijk zijn van visuele, auditieve of cognitieve tests. Er is niets te zien, horen, klikken of op te lossen. Sommige proof-of-work producten bieden daarnaast optionele stapsgewijze verificatie voor gevallen met een hoger risico, maar CAPTCHA.eu en vergelijkbare echt onzichtbare implementaties vormen nooit een uitdaging, ongeacht het risiconiveau. Gedragsmatig onzichtbare CAPTCHA kan terugvallen op zichtbare uitdagingen voor gebruikers met atypische interactiepatronen, waaronder veel gebruikers van ondersteunende technologie. WCAG 2.2 Succes Criterium 3.3.8 verbiedt cognitieve functietesten in verificatiestromen, waardoor proof-of-work de meest geschikte optie is voor aanmeldings- en registratiestromen.

Kunnen bots onzichtbare CAPTCHA omzeilen?

Geavanceerde aanvallers met veel middelen kunnen de meeste beveiligingsmaatregelen omzeilen als ze genoeg tijd en middelen hebben. Echter, proof-of-work CAPTCHA verhoogt de kosten van elke poging computationeel, wat betekent dat grootschalige geautomatiseerde aanvallen economisch onpraktisch worden in plaats van technisch onmogelijk. Een bot die credential stuffing uitvoert met duizenden pogingen per minuut moet nu voor elke poging een cryptografische puzzel oplossen. Behavioral CAPTCHA vertrouwt op het detecteren van verdachte patronen, die gemotiveerde aanvallers kunnen leren na te bootsen. Geen van beide is een perfecte oplossing en daarom werkt CAPTCHA het beste als een laag in een defense-in-depth strategie naast MFA en rate limiting.

Vereist een onzichtbare CAPTCHA een GDPR-toestemmingsbanner?

Voor cookieless proof-of-work CAPTCHA creëert de CAPTCHA-laag normaal gesproken geen eigen cookie-consent vereiste. Er worden geen cookies ingesteld en er worden geen persoonlijke gedragsgegevens verzameld door het CAPTCHA-mechanisme. Operators moeten nog steeds hun volledige implementatie en lokale wettelijke vereisten beoordelen. Voor onzichtbare CAPTCHA op gedrag: het hangt af van uw implementatie en jurisdictie, maar in de meeste EU-lidstaten is het antwoord ja. De persistente cookie en het verzamelen van gegevens op basis van gedrag vereisen zowel een GDPR-rechtsgrondslag als een beoordeling op basis van de nationale ePrivacy-regels, waarvoor meestal toestemming is vereist. Door te kiezen voor proof-of-work wordt deze nalevingskwestie volledig geëlimineerd.

Wat is het verschil tussen onzichtbare CAPTCHA en reCAPTCHA v2 Invisible?

reCAPTCHA v2 Invisible is een specifiek Google-product dat nog steeds het reCAPTCHA v2-uitdagingsmechanisme gebruikt; het vertraagt alleen de weergave totdat de gebruiker een gemarkeerde actie activeert. Wanneer deze wordt gemarkeerd, wordt de bekende uitdaging voor het selecteren van afbeeldingen weergegeven. reCAPTCHA v3 verwijdert deze uitdaging volledig en gebruikt in plaats daarvan een risicoscore. Moderne proof-of-work onzichtbare CAPTCHA gaat verder: geen scoregebaseerde fallback, geen visuele uitdaging, nooit, ongeacht het risiconiveau dat aan een verzoek is toegewezen.

Hoe houdt een proof-of-work CAPTCHA bots tegen als er geen uitdaging is?

Proof-of-work verhoogt de rekenkosten van elke aanvraag. Voor een enkele legitieme gebruiker die één formulier indient, is de berekening verwaarloosbaar en wordt deze op de achtergrond in milliseconden voltooid. Voor een bot die duizenden verzoeken per minuut indient, vereist elke poging het oplossen van een cryptografische puzzel. De totale computerkosten van de aanval worden groot genoeg om het economisch onaantrekkelijk te maken. In tegenstelling tot blokkeren op IP-adres (waar gedistribueerde aanvallers omheen leiden), kunnen computationele kosten niet worden vermeden: ze zijn van toepassing ongeacht hoeveel verschillende IP's of apparaten de aanvaller gebruikt.

Gerelateerde lezen

Primaire bronnen

W3C: Ontoegankelijkheid van CAPTCHA: gezaghebbende W3C notitie over toegankelijkheidsbarrières in traditionele CAPTCHA en de beperkingen van workarounds
WCAG 2.2 Succescriterium 3.3.8 Toegankelijke verificatie (Minimaal)het criterium van niveau AA dat cognitieve functietests in authenticatiestromen verbiedt
Google reCAPTCHA FAQ (april 2026)bevestiging dat de _grecaptcha cookie blijft bestaan na de controller-naar-verwerker rolverandering
CAPTCHA.eu WCAG 2.2 AA certificering: onafhankelijk gecertificeerd door TÜV Oostenrijk
Onderzoek Stanford University: CAPTCHA uitdagingen verminderen formulierconversies tot 40%
Europese toegankelijkheidswet (Richtlijn 2019/882): WCAG 2.2 AA wettelijk bindend voor EU-bedrijven vanaf juni 2025

Recente berichten

nl_NLDutch
en_USEnglish de_DEGerman fr_FRFrench es_ESSpanish it_ITItalian nl_NLDutch