Cloudflare Privacy Pass และ Turnstile คืออะไร แตกต่างจาก CAPTCHA อย่างไร

Categories

CAPTCHA เป็นสิ่งที่ผู้ใช้งานไม่ชอบ เพราะต้องเสียเวลาแก้ตัวอักษรหรือคลิกภาพ Cloudflare พัฒนาทางเลือกใหม่ 2 อย่างที่ช่วยป้องกัน Bot โดยไม่รบกวนผู้ใช้จริง ได้แก่ Cloudflare Turnstile และ Privacy Pass ทั้งสองเหมาะสำหรับเว็บบน VPS ที่ต้องการประสบการณ์ผู้ใช้ที่ดีและความปลอดภัย

ปัญหาของ CAPTCHA แบบเดิม

CAPTCHA ดั้งเดิมมีหลายปัญหา:

  • รบกวนผู้ใช้ — ผู้ใช้ต้องเสียเวลา 5-30 วินาทีในการแก้ CAPTCHA
  • ลดการแปลง — บางผู้ใช้เลิกใช้บริการเพราะรู้สึกรบกวน (Drop-off rate 30-40%)
  • ไม่สะดวกบนมือถือ — บนหน้าจอเล็กเป็นความท้อแท้
  • เข้าถึงไม่ได้ — ผู้พิการทางการมองเห็นแก้ CAPTCHA ได้ยาก
  • ยังคงมี Bot เข้าได้ — Bot ขั้นสูงสามารถแก้ reCAPTCHA ได้

Cloudflare Turnstile คืออะไร?

Turnstile เป็น CAPTCHA รุ่นใหม่จาก Cloudflare ที่ใช้วิธีการตรวจสอบแบบ เทำเทียบระหว่าง Human / Bot โดยไม่ต้องให้ผู้ใช้ทำอะไรเลย Turnstile วิเคราะห์พฤติกรรมของผู้ใช้เบาว์เซอร์ (บาง JavaScript Signals) โดยไม่ต้องอ่านข้อมูลส่วนตัว

ไว้วางใจกระบวนการทำงานของ Turnstile

  1. Widget ของ Turnstile ปรากฎบนหน้าเว็บ (เป็นเพียงกล่องเล็กๆ)
  2. Cloudflare วิเคราะห์พฤติกรรมของผู้ใช้เทียบกับ Signal หลายอย่างในเบาว์เซอร์ (เช่น เมาส์หวิน การพิมพ์ ตำแหน่ง IP จากประวัติ ฯลฯ) โดยไม่เก็บข้อมูล Cookie ที่อ่าน
  3. ถ้าเป็นคนจริง Widget จะแสดง Checkmark สีเขียวโดยอัตโนมัติ ไม่ต้องทำอะไร (Autonomous mode)
  4. ถ้าไม่แน่ใจหรือมี Signal สงสัย จะมี Challenge เพิ่มเติมแบบเบาๆ เช่น คลิก Checkbox “I’m not a robot” หรือต้องหมุน Puzzle (Managed mode)
  5. ผ่าน Challenge ก็สามารถใช้งานได้ทันที

ข้อดีของ Turnstile เทียบกับ reCAPTCHA

  • ไม่เก็บ Cookie — ไม่เก็บข้อมูลการติดตามของผู้ใช้
  • Privacy-first — ไม่ส่งข้อมูลไป Google (reCAPTCHA ส่งข้อมูลไป Google)
  • ผู้ใช้ไม่ต้องทำอะไร — ส่วนใหญ่ไม่ต้องแก้ CAPTCHA เลย ผ่านอัตโนมัติ
  • ใช้ได้ฟรี — ไม่มีค่าใช้จ่าย สำหรับทุก Domain
  • สนับสนุนจาก Browser ทั้งหมด — Chrome, Firefox, Safari, Edge ฯลฯ
  • เข้าถึงได้ (Accessible) — รองรับ Screen Reader และคำแนะนำชัดเจน
  • ไม่มี Google Analytics — ไม่ติดตาม Fingerprinting ของผู้ใช้เหมือน reCAPTCHA

วิธีติดตั้ง Turnstile บนเว็บไซต์

  1. ไปที่ Cloudflare Dashboard → Turnstile
  2. คลิก Add widget และใส่ชื่อ เลือก Domain
  3. รับ Site Key และ Secret Key (เก็บ Secret Key ไว้บน Server เท่านั้น)
  4. เพิ่ม Script บนเว็บ:
<script src="https://challenges.cloudflare.com/turnstile/v0/api.js" async defer></script>

<!-- Widget ใน Form -->
<div class="cf-turnstile" data-sitekey="YOUR_SITE_KEY"></div>

ตัวอย่าง HTML Form เต็มรูป:

<form method="POST" action="/submit">
  <input type="email" name="email" required>
  <div class="cf-turnstile" data-sitekey="YOUR_SITE_KEY"></div>
  <button type="submit">Submit</button>
</form>

Verify Token ที่ Server (Backend)

เมื่อผู้ใช้ส่ง Form Browser จะส่ง Token เข้ามาใน Body ของ Form (cf-turnstile-response) ที่ Server ต้อง Verify Token ไปยัง Cloudflare API:

// Node.js / Express Example
const response = await fetch('https://challenges.cloudflare.com/turnstile/v0/siteverify', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
  },
  body: JSON.stringify({
    secret: process.env.TURNSTILE_SECRET_KEY,
    response: req.body['cf-turnstile-response'],
  }),
});
const data = await response.json();
if (data.success) {
  // Token is valid, process form
} else {
  // Token failed, reject
}

Privacy Pass คืออะไร?

Privacy Pass เป็นโปรโตคอล (และ Browser Extension) ที่ช่วยให้ผู้ใช้ที่ผ่าน Challenge ครั้งแรกแล้ว ได้รับ Token ที่ใช้นำ Challenge ครั้งต่อไปโดยไม่ต้องผ่าน Challenge ซ้ำอีก Browser Extension สนับสนุนโดยอัตโนมัติใน Chrome, Firefox, Edge

ตัวอย่าง Workflow:

  1. ผู้ใช้เข้าเว็บ A ครั้งแรก → ต้องผ่าน Turnstile Challenge
  2. ผ่าน Challenge → ได้รับ Privacy Pass Token 1 ตัว (เก็บไว้ใน Browser)
  3. ผู้ใช้เข้าเว็บ A อีกครั้ง → Browser ส่ง Privacy Pass Token แทน Challenge ไม่ต้องแก้ CAPTCHA
  4. ได้รับ Token ใหม่อีก 1 ตัว (renewal)
  5. ต่อไปเข้าเว็บ A ไม่ต้องแก้ CAPTCHA อีก (จนกว่า Token หมด)

เปรียบเทียบวิธีการ Challenge

วิธีการ ผู้ใช้เห็น UX Privacy Bot Protection
reCAPTCHA v2 “I’m not a robot” ✓ หรือ Select images รบกวน เก็บข้อมูลไป Google ดี
reCAPTCHA v3 ไม่เห็น Widget (ทำงานซ่อน) ดี เก็บข้อมูลไป Google ดีมาก
Cloudflare Turnstile ส่วนใหญ่ไม่เห็น หรือเพียง Checkbox เบาๆ ดีมาก Privacy-first ไม่เก็บ Cookie ดีมาก
Privacy Pass ไม่เห็นอะไร (ใช้ Token) ยอดเยี่ยม Privacy-first ดีมาก

การตั้งค่า Turnstile Mode

Cloudflare Turnstile มี 3 Mode:

  • Managed Mode (Default) — Cloudflare ตัดสินใจเอง ว่า Challenge ง่าย หรือยาก (Recommended)
  • Non-Interactive Mode — ไม่แสดง Widget เลย ตรวจสอบเบนหลัง (ต้อง Pro+ Plan)
  • Invisible Mode — ซ่อน Widget ตรวจสอบในเบนหลัง (เก่า ไม่แนะนำแล้ว)

ตั้งค่า Mode ใน HTML:

<!-- Managed Mode (ค่า Default) -->
<div class="cf-turnstile" data-sitekey="YOUR_SITE_KEY"></div>

<!-- Non-Interactive Mode -->
<div class="cf-turnstile" data-sitekey="YOUR_SITE_KEY" data-theme="light" data-appearance="always"></div>

Turnstile vs reCAPTCHA — ตัวอย่างเปรียบเทียบจริง

เว็บที่ใช้ reCAPTCHA v2 (Select images):

  • ผู้ใช้คลิก “I’m not a robot” → รอ 1-2 วินาทีว่า User ผ่านแล้วหรือไม่
  • บางคนต้อง Select images (“Select all cars”) → เสียเวลา 10-20 วินาที
  • ผู้ใช้บางคนเลิกใช้เพราะรบกวน (Drop-off 30-40%)

เว็บที่ใช้ Turnstile:

  • ผู้ใช้เข้าเว็บ → ไม่เห็น Widget
  • Turnstile ตรวจสอบในเบนหลัง (ใช้เวลา <1 วินาทีแต่ผู้ใช้ไม่รู้สึก)
  • ผ่านแล้ว → User ใช้เว็บได้ทันที
  • บางคนไม่ผ่าน → แสดง Checkbox เล็กๆ “Verify you are human” (ไม่รบกวนมากเท่า reCAPTCHA)

ข้อควรระวัง

  • Secret Key ต้องเก็บเป็นความลับ — ถ้า Secret Key รั่วไหล Bot สามารถ Bypass Turnstile ได้
  • ต้อง HTTPS — Turnstile ต้องทำงานบน HTTPS เท่านั้น (HTTP จะไม่ใช้งานได้)
  • Verify Token ที่ Server เสมอ — ไม่ควร Trust Token จาก Client เท่านั้น Bot สามารถปลอม Token ได้
  • Token มีอายุ 5 นาที — Token ที่เก่าเกิน 5 นาทีจะหมดอายุ
  • ไม่ใช้ได้กับ Static Site — ต้องมี Server Backend ที่สามารถ Verify Token ได้

ตัวอย่าง: ตั้งค่า Turnstile บน VPS

ถ้าคุณมี WordPress + Cloudflare:

  1. ติดตั้ง Plugin: “Cloudflare Turnstile” (ค้นหาใน WordPress Plugin Directory)
  2. ไปที่ Plugin Settings → ใส่ Site Key และ Secret Key
  3. เปิดใช้งาน Turnstile สำหรับ Login/Register/Comment Forms
  4. ทดสอบด้วย Incognito Mode → ดูว่า Widget แสดงถูก

ถ้าคุณมี Custom PHP/Node.js Application:

  1. ใน HTML Form → เพิ่ม Turnstile Widget
  2. ใน Backend API → Verify Token พร้อมกับ Secret Key
  3. ถ้าผ่าน → Process Form
  4. ถ้าไม่ผ่าน → Return Error “Verification failed, please try again”

สรุป

Cloudflare Turnstile เป็นทางเลือกที่ดีที่สุดแทน reCAPTCHA สำหรับเว็บที่ให้ความสำคัญกับ Privacy และประสบการณ์ผู้ใช้บน VPS ด้วย Widget ที่ใช้ง่าย น่าเชื่อถือ และฟรี ส่วน Privacy Pass ช่วยให้ผู้ใช้ที่กลับมาใช้เว็บซ้ำไม่ต้องแก้ CAPTCHA ซ้ำอีก ทั้ง Turnstile และ Privacy Pass ไม่เก็บข้อมูลของผู้ใช้ไป Google ทำให้คุณควบคุม Data ของผู้ใช้ได้เต็มที่