Google reCAPTCHA v3 vs Cloudflare Turnstile

reCAPTCHA v3은 세계에서 가장 정확한 캡차. 다른 모든 캡차 데이터셋 합친 것 수준의 Google 행동 데이터셋이 뒤에. Turnstile은 셀프호스팅 필요 없는 캡차 중 가장 프라이버시 친화적. 둘의 정확도 격차는 실제 있지만 좁혀지는 중, 프라이버시 격차는 좁혀지지 않음.

reCAPTCHA가 실제로 하는 일

reCAPTCHA v3는 방문자에 대한 Google의 행동 분석 기반으로 요청당 0.0~1.0 점수 반환. 점수 해석 코드는 직접 작성 (보통 0.5가 임계값). 점수는 커서 움직임, 페이지 체류 시간, IP 평판, Google 계정 상태, 다른 Google 연결 사이트의 브라우징 이력, 수십 가지 다른 시그널 고려. 정확도는 그 시그널 폭에서 나옴.

Turnstile이 다르게 하는 것

Turnstile은 점수 아닌 pass/fail 반환. 내부적으로 비슷한 체크 세트(TLS 핑거프린트, 요청 타이밍, IP 평판, 브라우저 챌린지) 실행하지만 Cloudflare는 갖고 있지 않은 크로스사이트 브라우징 이력은 사용 안 함. 정확도는 reCAPTCHA v3의 90~95% 수준, 거의 모든 공개 폼에 충분. reCAPTCHA가 앞서는 곳은 최대 사이트 대상 고도 표적 공격 (뱅킹, 티켓 리셀, 대규모 계정 탈취), Google 크로스사이트 시그널이 거기서 도움.

프라이버시 격차

reCAPTCHA v3는 모든 방문자(Google 미로그인 포함)의 행동 데이터를 Google에 전송. EU 규제기관 여럿이 명시 동의 없는 reCAPTCHA 사용에 위반 판정. CNIL은 프랑스 기관에 벌금. Turnstile은 훨씬 작은 페이로드를 Cloudflare에 전송, 쿠키 안 설정, Cloudflare 비즈니스 모델은 그 데이터 수익화에 의존하지 않음.

reCAPTCHA를 유지할 경우

구체적으로: 가짜 계정 1개가 수백 달러 사기를 일으키는 금융 가입 플로우, 수백만 사용자 사이트의 계정 탈취 방지, 0.0~1.0 점수 임계값을 튜닝했고 그 정밀도가 필요한 경우. 댓글 폼, 컨택 폼, 뉴스레터 가입, 대부분 공개 웹 폼에서는 이제 Turnstile이 더 나은 기본값.