📅 2025 年 10 月 17 日,我登入 Google reCAPTCHA 管理介面時,
所有專案都跳出提示:
「Migrate your keys to Google Cloud Platform to access the latest reCAPTCHA features.」
其實這管理畫面我在一、兩個月前就有偶爾發現到了,但當時忙著其他專案沒多理會。
直到昨天介面出現警告,我才意識到這並不是管理介面更新,而是正式改版。
在移轉過程中,我也發現了一個細節:
我所使用的 Google 免費帳號最多只能建立 7 個 Cloud 專案。(我的自身經驗)
這對許多同時管理多個網站的工程師或中小企業來說,是個潛在問題。
如果你有十幾個網站都用了 reCAPTCHA,就必須考慮以下幾個選擇:
🧩 建議解法
- 整合多個網站到同一個 Cloud Project(但管理上較混亂)。
- 使用付費 Google Workspace 帳號擴充專案上限。
- 或是評估部分網站改用替代方案(例如 Turnstile 或 hCaptcha)。
更讓我印象深刻的是,今年第二季,我們就有一次 流量突然暴增事件, 因為超過 10,000 次免費驗證次數, 導致表單在幾小時內出現 「防護空窗期」。 當時我們緊急改用替代方案才恢復正常, 也因此我對這次的改版特別敏感。
什麼是 Google reCAPTCHA?
你一定曾經在網頁上看過那句:「我不是機器人 (I’m not a robot)」。
那背後的防護機制,就是 Google reCAPTCHA。
它能分辨人類與機器人、擋下垃圾註冊、留言攻擊與暴力登入。
長年以來,它是「免費又穩定」的網站安全標配。
🌍 但從 2025 年開始,這一切正式改變了。
Google 宣布:所有 reCAPTCHA 將全面整併至
Google Cloud 平台,
並改採 分層計費制。
這代表過去的免費防護時代結束了,
reCAPTCHA 不再完全免費。
2025 年五大改動,一次看懂
📋 改版重點總整理
- 金鑰必須綁定到 Google Cloud Project: 舊版「Classic」金鑰將於年底前失效。 未遷移者可能遭遇 API 鎖定或被自動升級至 Enterprise 流程。
- 正式納入 Cloud 計費系統: 每月前 10,000 次驗證仍免費, 超過部分將依使用量計費。 高流量網站與 SaaS 需特別注意。
- 管理介面全面移轉: reCAPTCHA Admin Console 已跳出「請前往 Google Cloud 管理」提示, 所有設定、配額與金鑰建立皆改在 Cloud Console 進行。
-
API 仍可沿用,但建議升級:
現有前端程式碼可繼續運作,
官方建議未來切換新版 SDK(
enterprise.js)。 - 行動端與 SMS 防詐新功能上線: 2025 年推出 Mobile SDK 更新與 SMS fraud defense GA, 改善行動登入與交易驗證安全性。
reCAPTCHA 遷移時程與官方公告
根據 Google Cloud 官方文件,所有 reCAPTCHA Classic 客戶
都必須在 2025 年底前完成遷移至 reCAPTCHA Enterprise,
否則系統會自動代為遷移。
這項程序分為五個階段:
🗓️ reCAPTCHA 遷移時程表(2024–2025)
| 時間 | 階段內容 |
|---|---|
| 2024 年第 3 季 | 系統不再允許建立新的「傳統金鑰(Classic Keys)」。 |
| 2025 年第 1 季 | Google 傳送第一封通知,提醒使用者使用「自助遷移工具」進行手動遷移。 |
| 2025 年第 3 季 | 向尚未遷移的帳戶寄送第二封通知,內含 Google Cloud Console 遷移工具連結。 |
| 2025 年第 4 季 | 系統自動將所有尚未遷移的帳戶升級至 reCAPTCHA Enterprise。 |
| 2025 年第 4 季(年底) | 系統拒絕所有未綁定 Cloud Project 的舊金鑰,並鎖定其 API 存取權限。 |
這次改動的影響
對開發者與企業而言,這不是單純的「金鑰搬家」,而是整個維運模式的轉變。
🧭 不同角色該怎麼應對?
-
對工程師來說:
需確認每個網站金鑰綁定專案正確、IAM 權限設定完整,
避免因權限不足導致驗證失效。 -
對行銷與網站經營者:
必須納入 Cloud 帳單預算管理,建立配額警示。
若不想被鎖在 Cloud 生態中,可提前評估替代方案。 -
對企業資訊安全:
Cloud 模式整合更多風險分析與報表(policy-based challenge),
是更安全、但也更複雜的架構。
其實這次 reCAPTCHA 的雲端化,只是 Google 全面收緊帳號管理的一部分。
像 GA4 也有限制:一個帳號最多只能建立 100 個專案。
想了解如何規劃多客戶、多網站的帳號架構,
可以參考這篇延伸說明:
👉 GA4 只能創建 100 個專案?網站公司與行銷團隊必懂的帳號管理策略
我們在這波改動中的真實感受
在過去 Google reCAPTCHA 還提供百萬級免費使用的年代,
我們身為網站業者,只要新增網域、申請金鑰就能立即使用,
幾乎沒有任何數量限制。
那時候如果是一個客戶、一個網域,事情還好處理;
但如今的 Cloud 架構下,我發現 免費帳號最多只能建立 7 個專案,
這對需要維護上百個網站的團隊來說,是一個現實考驗。
想像一下:10 個、20 個、50 個到幾百個網站專案,都~必須被「塞進」7 個 Cloud Project 裡共享資源,
金鑰、網域、驗證流量都綁在一起,未來在維護、分流、記錄分析上都會變得更複雜。
雖然一般 B2B 網站的表單驗證量不至於爆量,
但這個限制仍提醒我們,
Google reCAPTCHA 已經從免費工具,變成需要「架構規劃」與「成本思考」的新型雲端服務。
開發團隊立即可做的檢查清單
遷移檢查清單(建議操作步驟)
- 盤點所有金鑰:列出使用 reCAPTCHA 的所有網站與 key,包含環境(prod/staging)與負責人。
- 登入 Cloud Console:確認金鑰是否已自動遷移,並核對所屬的 Google Cloud Project。
- 建立專案與計費帳戶:為主要站點建立獨立 Project 與 Billing,避免超量時 API 被鎖或影響其他服務。
- 測試驗證流程:在 staging 環境模擬表單、登入、註冊等流程,確認 v2/v3 與 enterprise SDK 在不同情境下的行為。
- 設定配額警示與預算:在 Cloud Billing 設定配額提醒與每日/每月預算上限,預防流量突增導致意外扣款或服務中斷。
- 檢查日誌與分數:利用 Cloud Logging 與監控分析風險分數變化(score、challenge 次數),並將異常事件納入例行檢查。
若不想被綁 Google Cloud,有哪些替代方案?
🧩 reCAPTCHA 替代方案比較
| 替代方案 | 優點 | 適合對象 |
|---|---|---|
| Cloudflare Turnstile | 免輸入驗證、無第三方 cookie、隱私友善 | 想簡化 UX、避開 Google 計費者 |
| hCaptcha | 免費方案可用、可賺取驗證報酬 | 想自訂挑戰介面與報表者 |
| FriendlyCaptcha | 高隱私、歐盟 GDPR 友好 | 重視歐洲市場或法遵企業 |
建議先在少數網站進行 PoC(概念驗證),
比較穩定性、誤判率與使用者體驗後再決定是否全面切換。
除了驗證系統外,也別忽略其他防禦設計,例如 Honeypot 技術與表單防垃圾信策略,
👉 延伸閱讀:什麼是 Honeypot?網站表單隱藏陷阱如何阻擋垃圾訊息
我在另一篇文章中也整理了 WordPress 與客製化的實作方式。
👉 延伸閱讀:表單垃圾信大爆炸?網站工程師教你 WordPress 與客製化防禦技巧
開發團隊立即可做的檢查清單
遷移檢查清單(建議操作步驟)
- 盤點所有金鑰:列出使用 reCAPTCHA 的所有網站與 key。
- 登入 Cloud Console:確認金鑰是否已遷移。
- 建立專案與計費帳戶:避免超量時 API 被鎖。
- 測試驗證流程:在 staging 環境模擬表單、登入、註冊等流程。
- 設定配額警示與預算:預防流量突增時意外扣款。
- 檢查日誌與分數:利用 Cloud 日誌分析風險分數變化。
常見問題 FAQ
你的網站還安全嗎?
很多老網站在改版幾年後,原本的設計廠商早就聯絡不上。這次 Google reCAPTCHA 改版,如果沒有遷移到 Cloud,表單可能會在某天「突然失效」,導致客戶無法送出資料。
別讓孤兒網站成為資安漏洞。我可以協助你檢查金鑰狀態、重新設定防護與警示,並規劃更穩定的驗證方式,讓網站重新回到安全狀態。
👉 聯絡我,立即檢查你的 reCAPTCHA 設定
