Ключевые различия между reCAPTCHA v2, v3 и Enterprise
Выбор неподходящей версии reCAPTCHA — на удивление распространенная и дорогостоящая ошибка. Для блога защита с помощью reCAPTCHA Enterprise будет избыточной. Для входа в банковский аккаунт одной лишь бесплатной reCAPTCHA v2 с флажком может быть недостаточно. Это сравнение версий reCAPTCHA дает разработчикам, владельцам сайтов и инженерам по безопасности четкое и практичное понимание того, чем отличается каждая версия, — чтобы решение было простым и очевидным, а не превращалось в гадание.
Эти три версии принципиально различаются по тому, как они предлагают проверки пользователям, какие сигналы анализируют, сколько логики на серверной стороне требуют и сколько стоят. Понимание этих различий — первый шаг к внедрению подходящего уровня защиты в вашем контексте.
Мнение эксперта — Владлен Власов, междисциплинарный технический специалист
"Спор о версиях на самом деле сводится к компромиссу между пользовательским опытом и безопасностью. В reCAPTCHA v2 неудобство для пользователя ложится на пользователя. В v3 эта нагрузка ложится на вас, разработчика. Enterprise передает эту нагрузку системе оценки рисков Google — но за определенную цену. Прежде чем выбирать версию, нужно понимать свою модель угроз."
Начните сейчас и автоматизируйте решение reCAPTCHA v2
Что такое reCAPTCHA и почему версия имеет значение
reCAPTCHA — это сервис Google для обнаружения ботов и одна из самых широко используемых CAPTCHA-систем в интернете. Выбранная вами версия влияет на опыт ваших пользователей, архитектуру серверной части, соответствие требованиям комплаенса и ежемесячные расходы. Ошибка в выборе означает, что вы либо раздражаете легитимных пользователей ненужными головоломками, либо незаметно не блокируете ботов, потому что никто не обрабатывает оценку риска, либо платите за функции корпоративного уровня, которые сайту с низким трафиком никогда не понадобятся.
reCAPTCHA v2: вариант с флажком и невидимый вариант
reCAPTCHA v2 — самая узнаваемая форма защиты от ботов в интернете. У нее есть два основных подтипа, каждый из которых рассчитан на свой сценарий интеграции.
reCAPTCHA v2 Checkbox ("I'm not a robot")
Флажок reCAPTCHA v2 — классический виджет "I'm not a robot" — требует от пользователя установить флажок перед отправкой формы. Система оценки рисков Google анализирует нажатие и связанное с ним поведение браузера. Пользователи с низким риском проходят сразу, без дополнительных проверок. Пользователям с более высоким риском показывается головоломка с выбором изображений (например, "выберите все светофоры"). Это самый простой путь интеграции: он может потребовать всего две строки HTML и не требует логики обработки оценок на серверной стороне.
Преимущества:
Чрезвычайно простая интеграция — требуется минимальная работа на серверной стороне.
Понятный цикл обратной связи: пользователи точно знают, что от них требуется.
Бесплатно в рамках тарифа Essentials до 10 000 проверок в месяц.
Широкая совместимость с браузерами и программами экранного доступа (доступна аудиоальтернатива).
Недостатки:
Добавляет прерывание действий пользователя для всех пользователей, включая легитимных.
Задания с изображениями могут решаться сервисами обхода CAPTCHA и некоторыми ИИ-моделями.
Бинарный токен pass/fail не дает никакой детализации — прошедший токен не передает серверной части сигнал о риске.
Invisible reCAPTCHA (v2 Invisible)
Вариант invisible reCAPTCHA полностью убирает видимый флажок. Он запускается программно, когда пользователь нажимает кнопку отправки, либо через прямой вызов JavaScript API. Если система оценки рисков Google считает взаимодействие подозрительным, она автоматически показывает проверку. В противном случае пользователь вообще не сталкивается с прерыванием действий. Этот вариант находится между v2 checkbox и v3: меньше неудобства для пользователя, чем у варианта с флажком, но при этом он все еще может показывать жесткую проверку при необходимости — без логики обработки оценок на серверной стороне.
reCAPTCHA v3: оценки риска без проверок для пользователя
reCAPTCHA v3 принципиально меняет модель взаимодействия. Здесь нет ни флажка, ни головоломки, ни видимого виджета (только небольшой значок в углу страницы, который можно переместить или скрыть в соответствии с условиями Google). Вместо этого v3 работает как чистый JavaScript API, который отслеживает всю сессию — движения мыши, шаблоны кликов, поведение при прокрутке, тайминги и другие сигналы браузера — и возвращает оценку риска от 0.0 до 1.0.
1.0 = С очень высокой вероятностью человек.
0.0 = С очень высокой вероятностью бот.
Оценка возвращается на ваш сервер через проверку токена. То, что вы делаете с этой оценкой, полностью является вашей ответственностью.
Как оценка работает на практике
Вы определяете имена действий для каждого защищаемого взаимодействия (например, login, checkout, signup). Для каждого действия формируется своя оценка, что позволяет настраивать пороги независимо друг от друга. Консервативный стартовый порог 0.5 подходит для большинства сайтов:
Диапазон оценки
Рекомендуемое действие
0.7 – 1.0
Разрешить запрос
0.5 – 0.69
Показать видимую проверку или пометить для ручной проверки
0.0 – 0.49
Заблокировать или потребовать вторичную проверку
Эту оценку также можно объединять с вашими собственными сигналами — например, историей учетной записи пользователя, суммой транзакции или репутацией IP-адреса — чтобы построить составную модель риска.
Когда v3 работает хорошо — и когда нет
v3 хорошо работает, когда…
v3 не подходит, когда…
UX в приоритете, и любое прерывание действий пользователя снижает конверсию
Сайт новый и имеет мало поведенческих данных для обучения
Вы защищаете несколько действий на странице и вам нужна оценка по каждому действию
Нет серверного разработчика, который мог бы обрабатывать оценку
Уже существует вторичная проверка (email/SMS OTP)
Сложные боты имитируют человеческое поведение, чтобы завышать оценки
Это страницы с высоким трафиком, где проверять всех пользователей непрактично
Вам нужны гарантированная доступность или обработка данных уровня комплаенса
reCAPTCHA Enterprise: продвинутая защита от ботов
reCAPTCHA Enterprise — это не просто "v3 с подключенным биллинг-аккаунтом". Это структурированный продуктовый уровень со значительно более широкими возможностями, формальным SLA и функциями, которые выходят далеко за рамки простой оценки ботов. По состоянию на 2026 год Google делит reCAPTCHA на три уровня: Essentials (бесплатный), Premium (оплата по мере использования) и Enterprise (подписка) — каждый следующий уровень открывает все более продвинутые возможности.
Функции Google reCAPTCHA Enterprise: краткий обзор
Улучшения защиты от ботов:
Защита от ботов на уровне Essentials работает по 4-уровневой модели классификации. Уровни Premium и Enterprise повышают это до 11-уровневой модели, обеспечивая значительно более тонкую градацию для выявления пограничного трафика.
Причины с пояснениями: в Essentials их нет. Premium предоставляет базовые пояснения. Enterprise предоставляет расширенные пояснения — структурированные коды причин, объясняющие, почему была присвоена та или иная оценка (например, сетевая аномалия, поведенческая аномалия, известный отпечаток бота).
Запуск проверок на основе политик: доступен в Premium и Enterprise, но недоступен в Essentials. Позволяет автоматически показывать проверку на основе заданных правил без необходимости писать собственную ветвящуюся логику на серверной стороне.
Защита учетных записей и от мошенничества:
Account defense: Premium включает базовые пояснения для сигналов уровня учетной записи. Enterprise добавляет отдельную оценку риска захвата учетной записи с расширенными пояснениями — специально для обнаружения credential stuffing и атак ATO.
Password defense: предупреждает, когда учетные данные пользователя появляются в известных базах утечек. Доступно в Premium и Enterprise (требует дополнительной проверки).
SMS defense: выявляет SMS toll-fraud и шаблоны злоупотребления OTP. Доступно в Premium и Enterprise (требует дополнительной проверки).
Обнаружение carding и chargeback: сигналы на уровне транзакции, которые выявляют платежное мошенничество до проведения списания. Доступно в Premium и Enterprise (требует дополнительной проверки).
Annotation API: позволяет записывать реальные результаты обратно в Assessment, чтобы модель со временем улучшалась именно для вашего сайта. Доступно в Premium и Enterprise.
Related accounts API: обнаруживает связанные или кластеризованные учетные записи, использующие общие отпечатки устройств или сети. Только в Enterprise.
Аналитика и операционные возможности:
Отчеты по мошенничеству для конкретного клиента и инструменты расследования атак: только в Enterprise.
Выделенное сопровождение аккаунта и формальные обязательства SLA/SLO: только в Enterprise.
SDK для iOS и Android доступны во всех трех уровнях.
Обработка данных в Enterprise осуществляется в рамках Data Processing Addendum платформы Google Cloud Platform, что поддерживает формальные соглашения об обработке данных в соответствии с GDPR и контроль резидентности данных, недоступный в младших уровнях.
reCAPTCHA v2 vs v3: прямое сравнение
Выбор reCAPTCHA v2 vs v3 в основе своей сводится к тому, где вы хотите разместить прерывание действий пользователя: на стороне пользователя или на стороне вашей серверной логики.
Параметр
reCAPTCHA v2 Checkbox
reCAPTCHA v2 Invisible
reCAPTCHA v3
Взаимодействие с пользователем
Явный клик + возможная головоломка с изображениями
Нет (если только не сработал флаг)
Нет
Неудобство для пользователя
Высокое
Низкое–среднее
Отсутствует
Сложность серверной части
Низкая (проверка бинарного токена)
Низкая–средняя
Высокая (требуется логика обработки оценки)
Устойчивость к ботам
Умеренная (обход возможен)
Умеренная
Умеренная–высокая (при правильной настройке)
Богатство сигналов
Бинарный pass/fail
Бинарный pass/fail
Оценка 0.0–1.0 для каждого действия
Доступность
Лучшая (видимо, есть аудиоальтернатива)
Средняя
Лучшая (взаимодействие не требуется)
Бесплатный уровень
Да (Essentials: 10k/месяц)
Да
Да (Essentials: 10k/месяц)
Объем работ по интеграции
Очень низкий (2 строки HTML)
Низкий
Средний–высокий
Выбирайте v2 checkbox, когда:
У вас ограничены ресурсы на интеграцию и нужно запустить защиту менее чем за час.
Ваша аудитория ожидает и нормально воспринимает видимую контрольную точку (например, административные порталы, редко используемые формы).
Вы защищаете одно отдельное действие, а не всю сессию целиком.
Выбирайте v3, когда:
UX в приоритете, и любое видимое прерывание действий пользователя снижает конверсию.
У вас есть ресурсы серверной разработки для реализации маршрутизации на основе оценки.
Вы одновременно защищаете несколько действий на странице и хотите получать отдельную оценку для каждого действия.
reCAPTCHA v2 vs Enterprise: что меняется при масштабировании
reCAPTCHA v2 vs Enterprise — это не близкое сравнение, потому что эти два решения не рассчитаны на одну и ту же поверхность угроз. v2 создавалась как универсальный инструмент проверки человека с низким порогом входа. Enterprise создавалась для организаций, где злоупотребления имеют прямые финансовые последствия или последствия для комплаенса.
Параметр
reCAPTCHA v2
reCAPTCHA Enterprise
Результат
Бинарный токен pass/fail
Многомерный объект оценки риска
Значения оценки ботов
2 значения: бот или не бот
11 значений: 0.0–1.0
Сигналы мошенничества
Отсутствуют
Оценка риска захвата учетной записи, carding, chargeback, SMS-мошенничество
Пояснимость
Отсутствует
Расширенная (с кодами причин)
Annotation / настройка модели
Недоступно
Доступно (Annotation API)
SLA
Отсутствует
Да (с финансовыми компенсациями)
SLO
Отсутствует
99.9% ежемесячной доступности
Стоимость
Бесплатно до 10 000 проверок в месяц (Essentials); выше этого лимита действуют те же платные уровни, что и для v3
Фиксированное ежемесячное обязательство по объему по цене $1/1 000 проверок; требуется подписка на 12 месяцев
Поддержка комплаенса
Ограниченная
GCP DPA, соглашения об обработке данных, резидентность данных
Сложность интеграции
Очень низкая
Высокая (Assessment API, конвейер аннотаций)
Практический вывод: если ваш сайт обрабатывает платежи, поддерживает массовое создание учетных записей или работает в регулируемой отрасли, разница между v2 и Enterprise — это разница между базовой фильтрацией ботов и специализированным уровнем предотвращения мошенничества.
reCAPTCHA v3 vs Enterprise: когда одной оценки недостаточно
reCAPTCHA v3 vs Enterprise — самое тонкое сравнение, потому что Enterprise напрямую строится на архитектуре оценки v3. Бесплатный уровень Essentials дает вам оценку. Premium и Enterprise дают оценку плюс контекст, ответственность и настройку. Решение об обновлении чаще всего определяется тремя различиями:
Глубина сигналов. Essentials использует 4-уровневую классификацию защиты от ботов. Premium и Enterprise расширяют ее до 11 уровней — эта более тонкая градация важна, когда логика порогов должна различать "умеренно подозрительный" и "явно автоматизированный" трафик.
Пояснимость. Essentials возвращает число. Premium добавляет базовые коды причин. Enterprise возвращает расширенные коды причин — структурированные объяснения, почему была присвоена оценка (например, шаблоны автоматизации, подозрение на carding). Это критично для аналитиков безопасности, которым нужно не просто реагировать на атаки, но и расследовать их паттерны.
Уровень учетных записей и транзакций. Enterprise добавляет отдельные модели оценки для риска захвата учетной записи и транзакционного мошенничества, которые работают параллельно с базовой оценкой взаимодействия и обучены на данных о мошенничестве из глобальной сети защищаемых Google сайтов — то, что интеграция Essentials v3, развернутая самостоятельно, воспроизвести не может.
Когда стоит оставаться на v3 (Essentials / Premium): ваш сценарий — это защита форм или комментариев от спама; вам не нужны специализированные сигналы мошенничества или гарантии обработки данных уровня комплаенса; Annotation API и 11-уровневая защита от ботов в Premium уже удовлетворяют вашим требованиям к точности без избыточности Enterprise.
Практическая схема выбора: какую версию использовать
Шаг 1 — Какова ваша модель угроз?
Спам в формах, парсеры, credential stuffing в небольших объемах → v2 или v3 (Essentials/Premium).
Захват учетных записей, платежное мошенничество, злоупотребления с API высокой ценности → Enterprise.
Шаг 2 — Каков ваш допустимый уровень неудобства для пользователя?
Пользователи могут терпеть видимую контрольную точку → v2 checkbox.
Требуется полное отсутствие прерывания действий пользователя → v2 invisible или v3.
Шаг 3 — Каковы ваши возможности серверной разработки?
Минимум времени на серверную разработку → v2 checkbox (только проверка токена).
Можете реализовать маршрутизацию на основе оценки → v3.
Можете реализовать Assessment API + конвейер аннотаций → Enterprise.
Шаг 4 — Каков ваш объем?
Менее 10 000 проверок в месяц → любая версия, бесплатно (Essentials).
10 001–100 000 в месяц → Premium — фиксированная плата $8.
Более 100 000 в месяц без риска мошенничества → Premium — $1.00/1 000 проверок, без подписки
Любой объем + риск мошенничества / ATO / требования комплаенса / SLA → Enterprise — фиксированный объем по подписке, базовая цена $1/1 000, скидки за объем по запросу
Матрица сценариев использования
Сценарий использования
Рекомендуемая версия
Обоснование
Личный блог / контактная форма
v2 Checkbox
Просто, бесплатно, не нужна логика на серверной стороне
Форма регистрации SaaS
v3 (Essentials/Premium)
Невидимо, лучше для конверсии, маршрутизация по оценке на сервере реализуема
Оформление заказа в e-commerce
v3 Premium + резервная проверка v2
11-уровневая оценка риска, запуск проверок на основе политик
"Поскольку v3 использует тот же endpoint `siteverify`, что и v2, разработчики, знакомые с v2, часто останавливают интеграцию на этапе проверки токена. Критически важное дополнение в ответе v3 — это поле score: без серверной логики, которая на него реагирует, технически завершенная интеграция v3 не дает практической защиты от ботов."
Обзор интеграции и стоимости
reCAPTCHA Essentials (бесплатно):
До 10 000 проверок в месяц, суммарно по всем вашим сайтам и аккаунтам в рамках одной организации.
Поддерживает v2 (checkbox и invisible) и v3. Защита от ботов для v3 работает по 4-уровневой модели классификации.
После превышения месячного лимита запросы возвращают ошибку, если биллинг не включен.
reCAPTCHA Premium (оплата по мере использования):
Включается автоматически, когда вы добавляете платежный инструмент в ваш проект Google Cloud.
0–10 000 проверок в месяц: бесплатно. 10 001–100 000 в месяц: фиксированная плата $8.00. Более 100 000 в месяц: $1.00 за 1 000 проверок.
Открывает 11-уровневую защиту от ботов для v3, базовую расшифровку рисков, проверки на основе политик, Annotation API, password defense, SMS defense и обнаружение carding/chargeback.
reCAPTCHA Enterprise (подписка):
Требует подписочного договора через Google Cloud Sales; условия согласовываются индивидуально.
Тарифицируется по $1 за 1 000 проверок, скидки за объем доступны при обращении в Google Cloud Sales.
Открывает полный набор функций: расширенную расшифровку рисков, оценку риска ATO, Related accounts API, клиентские отчеты по мошенничеству, инструменты расследования атак, выделенное сопровождение аккаунта и SLA.
Полную техническую справку по reCAPTCHA v2 — включая генерацию ключей, встраивание виджета и проверку токена — см. на странице reCAPTCHA v2 на сайте CapMonster Cloud.
Вопросы доступности и конфиденциальности
Доступность заметно различается между версиями. Вариант v2 checkbox — самый доступный среди интерактивных вариантов: он включает аудиоальтернативу для пользователей с нарушениями зрения и поддерживает работу с программами экранного доступа, хотя задания с сеткой изображений по-прежнему остаются барьером для пользователей, полагающихся на вспомогательные технологии. v2 invisible и v3 по своей природе невидимы и не ставят интерактивных препятствий на пути пользователя — это существенное улучшение для пользователей с двигательными или когнитивными нарушениями. Enterprise наследует модель взаимодействия того типа виджета, который вы используете.
Конфиденциальность важна для всех версий. Любой вариант reCAPTCHA собирает поведенческие данные из браузеров пользователей и отправляет их в Google для анализа. Для v2 и v3 на уровнях Essentials/Premium данные обрабатываются в рамках общей политики конфиденциальности Google — вы должны раскрыть использование reCAPTCHA в своей политике конфиденциальности и, на рынках, регулируемых GDPR, иметь действительное правовое основание для обработки поведенческих данных. В Enterprise обработка идет в рамках Google Cloud Platform Data Processing Addendum, который включает обязательства по обработке данных только по инструкциям клиента, а также механизмы контроля резидентности данных, недоступные на младших уровнях, — это важно для организаций, работающих в условиях строгих требований к локализации данных.
FAQ
Q: Какая версия reCAPTCHA лучше всего подходит для большинства сайтов в 2026 году?
Для большинства сайтов — блогов, контактных форм, SaaS-регистраций и стандартных сценариев входа — reCAPTCHA v3 обеспечивает лучший баланс между безопасностью и UX. Она не создает видимого прерывания действий пользователя, поддерживает оценку для каждого действия и бесплатна до 10 000 проверок в месяц в рамках уровня Essentials. Основная оговорка в том, что ей требуется активная серверная логика, которая будет реагировать на оценку. Для команд с минимальными возможностями серверной разработки практичным выбором остается v2 checkbox: ее легче внедрить, код для обработки оценки не нужен, а уровень защиты достаточен для большинства типовых сценариев угроз.
Q: Как на практике работает оценка в reCAPTCHA v3?
reCAPTCHA v3 отслеживает поведенческие сигналы на протяжении всей пользовательской сессии — движения мыши, тайминги кликов, шаблоны прокрутки, историю взаимодействий и данные browser fingerprint — и синтезирует их в оценку от 0.0 до 1.0. Оценка, близкая к 1.0, указывает на очень высокую вероятность человека; оценка, близкая к 0.0, указывает на очень высокую вероятность бота. Вы назначаете имя действия для каждого защищаемого взаимодействия (например, login, signup), вызываете API v3 и получаете токен, который ваш сервер проверяет через endpoint проверки Google, чтобы получить оценку. Что именно делать с этой оценкой — разрешать, проверять, блокировать или помечать — полностью определяется вашей серверной логикой.
Q: Сколько стоит reCAPTCHA Enterprise в 2026 году?
Для reCAPTCHA Enterprise требуется формальная подписка Google Cloud с минимальным обязательством на 12 месяцев, тарификация составляет $1 за 1 000 проверок, а скидки за объем доступны через Google Cloud Sales. Если ваши потребности не требуют полноценного контракта Enterprise, уровень Premium (оплата по мере использования) открывает большинство продвинутых функций — включая 11-уровневую защиту от ботов, Annotation API и сигналы защиты от мошенничества — за фиксированные $8 при объеме от 10 001 до 100 000 проверок в месяц, а выше этого порога — по $1 за 1 000, без необходимости годового контракта.
Q: Можно ли по-прежнему обходить reCAPTCHA v2 в 2026 году?
Да. reCAPTCHA v2 — и вариант с флажком, и invisible-вариант — можно обходить через сервисы решения CAPTCHA, использующие людей-операторов или модели машинного обучения для программного прохождения проверок. Продвинутые операторы ботов регулярно встраивают такие сервисы в свои конвейеры автоматизации. Для большинства сайтов экономическая стоимость такого обхода в больших масштабах по-прежнему сдерживает оппортунистических ботов. Однако для целей высокой ценности, где у мотивированного атакующего есть основания вкладываться в инфраструктуру обхода, одной v2 недостаточно — следует рассмотреть v3 с серверной логикой или защиту уровня Enterprise.
Q: Можно ли комбинировать версии reCAPTCHA на одном сайте?
Да, и для приложений с повышенным риском это часто рекомендуемый подход. Распространенный паттерн — развернуть v3 по всему сайту для пассивной оценки и запускать проверку v2 checkbox только тогда, когда оценка падает ниже приемлемого порога (например, ниже 0.5). Это дает большинству легитимных пользователей отсутствие прерывания действий, одновременно предъявляя жесткую проверку к пограничным сессиям. В уровнях Premium и Enterprise запуск проверок на основе политик автоматизирует эту логику эскалации без необходимости писать собственный ветвящийся код на серверной стороне.
Выводы
Выбор версии reCAPTCHA — это задача калибровки на основе вашего уровня угроз, требований к пользовательскому опыту, ресурсов разработки и бюджета. Естественный путь обновления выглядит так: v2 → v3 → Premium → Enterprise.
Начинайте с v2, если вам нужна быстрая и простая защита с минимальной работой на серверной стороне.
Переходите на v3, когда неудобство для пользователя начинает заметно снижать конверсию и у вас есть серверные ресурсы для обработки оценок.
Обновляйтесь до Premium, когда вам нужны 11-уровневая защита от ботов, проверки на основе политик или сигналы мошенничества без обязательств по годовому контракту.
Переходите на Enterprise, когда ваша модель угроз включает захват учетных записей, платежное мошенничество или требования комплаенса, которым нужны расширенная расшифровка рисков, Related accounts API или выделенное покрытие SLA.
Правильный уровень — это самый низкий уровень, который адекватно закрывает вашу реальную модель угроз, а не самый сложный из доступных.
Решайте reCAPTCHA в ваших сценариях автоматизации и тестирования
Если ваш процесс разработки или QA включает взаимодействие со страницами, защищенными reCAPTCHA, — для тестирования, парсинга или автоматизации — CapMonster Cloud предоставляет надежный API для решения, поддерживающий reCAPTCHA v2 (checkbox и invisible), reCAPTCHA v3 и reCAPTCHA Enterprise. Он интегрируется через простой REST API и совместим со всеми основными фреймворками автоматизации.
NB: Пожалуйста, обратите внимание, что продукт предназначен для автоматизации тестирования исключительно ваших собственных веб-сайтов и ресурсов, к которым у вас есть законное право доступа.
Узнайте, как эффективно решать задачи reCAPTCHA Enterprise с помощью CapMonster Cloud. Полное руководство с примерами, настройками и советами для автоматизации.
