reCaptcha sinnvoll?

Nachdem ich gerade dabei war reCaptcha zu integrieren, fiel mir auf, dass es inzwischen reCaptcha v2 und reCaptcha v3 gibt. Google beschreibt die Unterschiede hier.
Kurz gesagt hat v2 die Möglichkeit das alt bekannte reCaptcha mit dem Ich bin kein Bot Kästchen anzuzeigen, oder es invisible zu machen, so dass dieses Kästchen nur bei Verdacht auf eine Bot erscheint.
v3 errechnet nur noch eine Wahrscheinlichkeit. 0.0 ist sicher ein Bot, 1.0 sehr sich kein Bot. Und hier muss man selbst entscheiden ab welchem Score man ablehnt oder evtl. weitere Maßnahmen ergreift, um es selbst zu prüfen.

Hier stellt sich also die Frage, ob es Sinn macht so etwas einzubauen. Ein registrierter Nutzer kann nur genutzt werden, nachdem ein per E-Mail zugesendeter Link bestätigt wurde. Beim zu viel fehlgeschlagenen Login Versuchen greifen andere Maßnahmen, von Laravel aus. Und nach dem Login dürfte es ohnehin kein Bot mehr sein. Ein Kontaktformular ist aktuell nicht vorgesehen.

Macht die Integration und eine (weitere) Abhängigkeit von Google Sinn? Was denkt ihr dazu?

Da bin ich überfragt. Dient es der Sicherheit, dann ja. Wenn es keinen Nutzen hat, Nein.
Was kann passieren, wenn man es nicht macht?

Es hat eben den Sinn / die Aufgabe Bots zu erkennen. Zumeist wird es eingesetzt, um Spam abzuhalten.

Ohne wäre es (theoretisch) möglich, dass sich Bots x-fach registrieren. Die meisten Spam Bots sind jedoch auf Spam und nicht Geisteraccounts aus. Insbesondere, da diese per E-Mail aktiviert werden müssten.

Automatisierte Login Versuche wären ebenfalls möglich, werden aber nach zu vielen Fehlversuchen vom System ohnehin für eine gewisse Zeit blockiert.

Ich habe festgestellt, dass in der public Version bereits diverse Spam Registrationen stattgefunden haben… In diesem Zusammenhang die steile Lernkurve, dass zwar die Accounts nicht aktiviert werden, daher im System selbst auch nicht stören… Aber die Aktivierungs - E-Mail wird dennoch versendet und zumeist gebounced…

Daher habe ich jetzt, statt reCaptcha, zumindest in einem ersten Schritt, einen Honeypot für die Registrierung eingesetzt.

Ich bin gespannt wie die Spam Bots darauf reagieren. :wink:

Die Honeypot Funktion hat den Spam effektiv auf null reduziert, womit sich diese Frage bis auf weitere erledigt haben dürfte.