Mit reCAPTCHA-Schlüsseln (auch Schlüssel) können Sie Ihre Endpunkte schützen, indem Sie Nutzerinteraktionen auf Ihren Webseiten und mobilen Anwendungen überprüfen.
Damit Sie den richtigen reCAPTCHA-Schlüsseltyp auswählen können, müssen Sie die auf der jeweiligen Plattform unterstützten Schlüsseltypen und ihre Unterschiede verstehen.
Arten von reCAPTCHA-Schlüsseln
In der folgenden Tabelle sind die reCAPTCHA-Schlüssel aufgeführt, die für jede Plattform unterstützt werden:
| reCAPTCHA-Schlüsseltypen | Beschreibung | Unterstützte Schlüssel | Schlüsselintegrationstyp |
|---|---|---|---|
| reCAPTCHA-Schlüssel für das Web | Schlüssel zum Einbinden von reCAPTCHA Enterprise in Webseiten | Auf Punktzahlen basierende Schlüssel | SCORE |
| Kästchenschlüssel | CHECKBOX |
||
| reCAPTCHA-Schlüssel für mobile Apps | Schlüssel zur Einbindung von reCAPTCHA Enterprise in Android- und iOS-Apps. | reCAPTCHA-Schlüssel für Android | SCORE |
| reCAPTCHA-Schlüssel für iOS | SCORE |
||
| reCAPTCHA-Schlüssel für WAF | Schlüssel zum Einbinden von reCAPTCHA Enterprise auf WAF-Ebene. | Aktionstoken-Schlüssel | SCORE und CHECKBOX |
| Sitzungstokenschlüssel | SCORE |
||
| Schlüssel der Challenge-Seite | INVISIBLE |
||
| Schnelltasten | SCORE |
reCAPTCHA-Schlüsseltyp für das Web auswählen
Für Websites bietet reCAPTCHA Enterprise auf Punktzahlen (keine Abfrage) und Kästchen (visuelle Herausforderung) an, um Nutzerinteraktionen zu überprüfen. Beide Schlüsseltypen geben für jede Anfrage eine Punktzahl zurück, die auf den Interaktionen mit Ihrer Website basiert. Anhand dieses Werts erkennen Sie das Risiko einer Interaktion und können geeignete Maßnahmen für Ihre Website ergreifen.
In der folgenden Tabelle sind die Unterschiede zwischen wertbasierten und Kästchenschlüsseln zusammengefasst. Sie hilft Ihnen, den richtigen Schlüssel für Ihre Anwendungsfälle auszuwählen:
| Vergleichskategorie | Punktebasierter Schlüssel (empfohlen) | Schlüssel des Kästchens |
|---|---|---|
| Beschreibung | Mit auf Punktzahlen basierenden Schlüsseln können Sie prüfen, ob eine Interaktion ohne Nutzerinteraktion legitim ist. | Kästchenschlüssel verwenden eine Kästchen-Abfrage, bei der eine Nutzerinteraktion erforderlich ist, um zu bestätigen, dass der Nutzer kein Roboter ist. Außerdem können Sie Kästchenschlüssel verwenden, um bestimmte Aktionen mit CAPTCHA-Herausforderungen zu schützen. |
| Funktionsweise | Bei auf Punktzahlen basierenden Schlüsseln gibt die reCAPTCHA Enterprise API eine Punktzahl zurück, die Sie verwenden können, um Aktionen im Kontext Ihrer Website auszuführen. Sie können beispielsweise zusätzliche Authentifizierungsfaktoren anfordern, Beiträge zur Moderation senden oder Bots drosseln, die eventuell Inhalte extrahieren. |
Ein Kästchenschlüssel rendert das Kästchen Ich bin kein Roboter, auf das ein Nutzer klicken muss, um zu bestätigen, dass er kein Roboter ist. Über diesen Kästchenschlüssel können Nutzer CAPTCHA-Herausforderungen anfordern. In beiden Fällen gibt die reCAPTCHA Enterprise API eine Punktzahl zurück. Bei CAPTCHA-Abfragen muss ein Nutzer bestimmte Arten von Objekten wie Straßenschilder aus einer Sammlung von Bildern auswählen. Das folgende animierte GIF ist ein Beispiel für einen Kästchenschlüssel: Die folgende Abbildung zeigt ein Beispiel für eine CAPTCHA-Abfrage: Bevor Sie CAPTCHA-Herausforderungen verwenden können, müssen Sie die Vorsichtsmaßnahmen für CAPTCHA-Abfragen verstehen. |
| Unterstützte Plattformen | Websites und mobile Plattformen. | Nur Websites. |
| Anwendungsfälle |
Auf Punktzahlen basierende Schlüssel sind für die folgenden Anwendungsfälle geeignet:
|
Kästchenschlüssel eignen sich für Formulare, Anmeldungen und Registrierungen auf Webseiten. Obwohl dies für Nutzer zusätzlichen Aufwand bedeutet, hilft ein zusätzlicher Schritt wie z. B. eine CAPTCHA-Abfrage dabei, ungeübte Angreifer abzuwehren. |
Warnungen mit CAPTCHA-Herausforderungen
Wenn Sie Kästchenschlüssel mit CAPTCHA-Herausforderungen zum Schutz vor automatisierten Angriffen verwenden möchten, beachten Sie die folgenden Einschränkungen:
- CAPTCHAs erfordern eine Nutzerinteraktion, was den Aufwand erhöht und die Conversion-Rate senken kann.
- Aufgrund der Fortschritte im maschinelles Sehen und der Maschinenintelligenz werden CAPTCHAs weniger nützlich, um zwischen Menschen und Bots zu unterscheiden.
- CAPTCHAs werden auch von bezahlten Angreifern bedroht, die alle Arten von Herausforderungen lösen können.
- CAPTCHAs sind nicht barrierefrei. Sie sind daher möglicherweise nicht geeignet, wenn Ihre Website Anforderungen an die Barrierefreiheit stellt.
reCAPTCHA-Schlüsseltypen für WAF auswählen
Die folgende Tabelle zeigt einen kurzen Vergleich der reCAPTCHA-Aktionstokens, reCAPTCHA-Sitzungstokens, der reCAPTCHA-Abfrageseite und des Express-Schutzes reCAPTCHA WAF:
| Vergleichskategorie | reCAPTCHA-Aktionstokens | reCAPTCHA-Sitzungstoken | reCAPTCHA-Abfrageseite | Express-Schutz für reCAPTCHA WAF |
|---|---|---|---|---|
| Anwendungsfall | Verwenden Sie reCAPTCHA-Aktionstokens, um Nutzeraktionen wie Anmeldung oder Kommentarbeiträge zu schützen. | Verwenden Sie reCAPTCHA-Sitzungstokens, um die gesamte Nutzersitzung auf der Domain der Website zu schützen. | Verwenden Sie die reCAPTCHA-Abfrageseite, wenn Sie Spamaktivitäten vermuten, die auf Ihre Website weitergeleitet wurden, und Bots herausfiltern müssen.
Diese Methode unterbricht die Aktivität eines Nutzers, da der Nutzer eine CAPTCHA-Eingabe bestätigen muss. |
Verwenden Sie den Express-Schutz von reCAPTCHA WAF, wenn Ihre Umgebung die Integration des reCAPTCHA-JavaScripts oder der mobilen SDKs nicht unterstützt. |
| Unterstützte Plattformen | Websites und mobile Apps | Websites | Websites | APIs, Websites, mobile Anwendungen und IoT-Geräte wie Fernseher und Spielekonsolen |
| Integrationsaufwand | Mittel
Führen Sie für die Einbindung folgende Schritte aus:
|
Mittel
Führen Sie für die Einbindung folgende Schritte aus:
|
Niedrig
Für die Integration müssen Sie Sicherheitsrichtlinienregeln für Google Cloud Armor oder reCAPTCHA-Firewallrichtlinien für WAF-Drittanbieter konfigurieren. |
Niedrig
Für die Integration müssen Sie entweder den Express-Schutz von reCAPTCHA WAF mit einem WAF-Dienstanbieter konfigurieren oder eine Anfrage von Ihrem Anwendungsserver an reCAPTCHA Enterprise senden. |
| Erkennungsgenauigkeit | Höchste
Ein Aktions-Token schützt einzelne Nutzeraktionen. |
Hoch
Ein Sitzungstoken schützt die gesamte Nutzersitzung auf der Domain der Website. |
Mittel
Der Prozess umfasst Weiterleitungen zur reCAPTCHA-Herausforderungsseite, die möglicherweise nicht alle seitenspezifischen Signale empfängt. Daher ist die Bot-Erkennung möglicherweise weniger genau. |
Niedrig
Clientseitige Signale sind nicht verfügbar. |
| Unterstützte reCAPTCHA-Version | Punktzahlbasierte und Kästchenschlüssel für reCAPTCHA Enterprise | Wertungsbasierte reCAPTCHA Enterprise-Schlüssel | Die reCAPTCHA-Herausforderungsseite verwendet die optimierte Version von reCAPTCHA, um die Integration zu minimieren. | Wertungsbasierte reCAPTCHA Enterprise-Schlüssel |
Sie können ein oder mehrere Features von reCAPTCHA Enterprise for WAF in einer einzigen Anwendung verwenden. Sie können beispielsweise ein Sitzungs-Token auf alle Seiten anwenden. Basierend auf der Punktzahl des Sitzungs-Tokens können Sie verdächtige Anfragen an die reCAPTCHA-Problemseite weiterleiten. Sie können auch ein Aktionstoken für wichtige Aktionen wie die Kasse verwenden. Weitere Informationen finden Sie in Beispielen.
Nächste Schritte
- reCAPTCHA-Schlüssel für Websites erstellen.
- reCAPTCHA-Schlüssel für mobile Anwendungen erstellen.
- Weitere Informationen zu reCAPTCHA-Schlüsseln für WAF