Scegli il tipo di chiave reCAPTCHA appropriato

Le chiavi reCAPTCHA (note anche come chiavi) ti consentono di proteggere gli endpoint verificando le interazioni degli utenti sulle tue pagine web e nelle tue applicazioni mobile.

Per scegliere il tipo di chiave reCAPTCHA appropriato, devi conoscere i tipi di chiavi supportati per ogni piattaforma e le loro differenze.

Tipi di chiavi reCAPTCHA

La tabella seguente elenca le chiavi reCAPTCHA supportate per ciascuna piattaforma:

Tipi di chiavi reCAPTCHA Descrizione Chiavi supportate Tipo di integrazione della chiave
Chiavi reCAPTCHA per il web Chiavi per integrare reCAPTCHA sulle pagine web. Chiavi basate sul punteggio SCORE
Chiavi delle caselle di controllo CHECKBOX
Chiavi reCAPTCHA per le app mobile Chiavi per integrare reCAPTCHA nelle app per Android e iOS. Chiavi reCAPTCHA per Android SCORE
Chiavi reCAPTCHA per iOS SCORE
Chiavi reCAPTCHA per WAF Chiavi per integrare reCAPTCHA al livello WAF. chiavi per token di azione SCORE e CHECKBOX
chiavi per token di sessione SCORE
chiavi pagina di sfida INVISIBLE
tasti espressi SCORE

Scegli un tipo di chiave reCAPTCHA per il web

Per i siti web, reCAPTCHA fornisce chiavi basate sul punteggio (senza verifica) e su caselle di controllo (verifica visiva della casella di controllo) per verificare le interazioni degli utenti. Entrambi i tipi di chiavi restituiscono un punteggio per ogni richiesta, che si basa sulle interazioni con il sito. Questo punteggio ti consente di comprendere il livello di rischio dell'interazione e di intraprendere le azioni appropriate per il tuo sito.

La tabella seguente riassume le differenze tra le chiavi di casella di controllo e basate sul punteggio e ti aiuta a scegliere la chiave appropriata in base ai tuoi casi d'uso:

Categoria di confronto Chiave basata sul punteggio (consigliata) Chiave casella di controllo
Descrizione Le chiavi basate sul punteggio consentono di verificare se un'interazione è legittima senza interazione da parte dell'utente.

Le chiavi delle caselle di controllo utilizzano una verifica tramite casella di controllo che richiede l'interazione dell'utente per verificare che l'utente non sia un robot. Inoltre, puoi utilizzare le caselle di controllo per proteggere azioni specifiche con le verifiche CAPTCHA.

Come funziona

Con le chiavi basate sul punteggio, l'API reCAPTCHA Enterprise restituisce un punteggio che puoi utilizzare per agire nel contesto del tuo sito.

Alcuni esempi di azioni che puoi intraprendere includono la richiesta di ulteriori fattori di autenticazione, l'invio di un post alla moderazione o la limitazione di bot che potrebbero essere usati per lo scraping dei contenuti.

La chiave di una casella di controllo mostra una casella di controllo Non sono un robot su cui l'utente deve fare clic per verificare di non essere un robot. La chiave della casella di controllo potrebbe o meno verificarla con verifiche CAPTCHA. In entrambi i casi, l'API reCAPTCHA Enterprise restituisce un punteggio.

Le verifiche CAPTCHA richiedono all'utente di selezionare determinati tipi di oggetti, come i cartelli stradali, da una raccolta di immagini.

La seguente GIF animata è un esempio di chiave casella di controllo:
reCAPTCHA_visual_challenge

La seguente immagine mostra un esempio di test CAPTCHA:

Esempio di test CAPTCHA

Prima di utilizzare le verifiche CAPTCHA, è necessario comprendere le avvertenze per le verifiche CAPTCHA.

Piattaforme supportate Siti web e piattaforme mobile. Solo siti web.
Casi d'uso

Le chiavi basate sul punteggio sono appropriate per i seguenti casi d'uso:

  • Siti web con requisiti di accessibilità.
  • Per le transazioni relative ai pagamenti che preferiscono meno attriti per ottenere tassi di conversione migliori.
  • Situazioni in cui vuoi utilizzare funzionalità aggiuntive come il controllo delle password (rilevamento di fughe di password) o l'autenticazione a più fattori (MFA).
  • Siti a cui si accede tramite applicazioni mobile.
Le chiavi delle caselle di controllo sono appropriate per moduli, accessi e registrazioni sulle pagine web. Sebbene possa causare ulteriori disagi per gli utenti, un passaggio aggiuntivo, come il test CAPTCHA, aiuta a scoraggiare gli utenti malintenzionati non sofisticati.

Avvertenze per le sfide CAPTCHA

Se vuoi utilizzare le chiavi delle caselle di controllo con le verifiche CAPTCHA per proteggerti da attacchi automatici, tieni presente le seguenti avvertenze:

  • I CAPTCHA richiedono l'interazione dell'utente, il che aumenta le difficoltà e potrebbe ridurre i tassi di conversione.
  • A causa dei progressi nella visione artificiale e nell'intelligenza artificiale, i CAPTCHA stanno diventando meno utili per distinguere tra esseri umani e bot.
  • Inoltre, i CAPTCHA sono minacciati da utenti malintenzionati a pagamento che sono in grado di risolvere tutti i tipi di verifica.
  • I CAPTCHA non sono accessibili a tutti gli utenti, quindi potrebbero non essere adatti se il tuo sito web ha requisiti di accessibilità.

Scegli i tipi di chiavi reCAPTCHA per WAF

La tabella seguente mostra un breve confronto tra token di azione reCAPTCHA, token di sessione reCAPTCHA, pagina di verifica reCAPTCHA e protezione espressa reCAPTCHA WAF:

Categoria di confronto Token di azione reCAPTCHA Token di sessione reCAPTCHA Pagina di verifica reCAPTCHA Protezione espressa reCAPTCHA WAF
Caso d'uso Utilizza i token di azione reCAPTCHA per proteggere le azioni degli utenti, come l'accesso o i post di commenti. Utilizza i token di sessione reCAPTCHA per proteggere l'intera sessione utente sul dominio del sito. Utilizza la pagina di verifica reCAPTCHA quando sospetti attività di spam indirizzate al tuo sito e devi escludere i bot.

Questo metodo interrompe l'attività di un utente perché quest'ultimo deve verificare un test CAPTCHA.

Utilizza la protezione espressa reCAPTCHA WAF quando il tuo ambiente non supporta l'integrazione del codice JavaScript reCAPTCHA o degli SDK per dispositivi mobili.
Piattaforme supportate Siti web e applicazioni mobile Siti web Siti web API, siti web, applicazioni mobile e dispositivi IoT come TV e console per videogiochi
Impegno di integrazione Medio

L'integrazione richiede quanto segue:

  • Installa il codice JavaScript reCAPTCHA sulle singole pagine del tuo sito o installa l'SDK per dispositivi mobili reCAPTCHA Enterprise sulla tua applicazione mobile.
  • Collega il token di azione all'intestazione della singola richiesta.
  • Configura le regole dei criteri di sicurezza di Google Cloud Armor o i criteri firewall reCAPTCHA per i fornitori di servizi WAF di terze parti.
Medio

L'integrazione richiede quanto segue:

  • Installa il codice JavaScript reCAPTCHA sulle singole pagine del sito.
  • Configura le regole dei criteri di sicurezza di Google Cloud Armor o i criteri firewall reCAPTCHA per i provider di servizi WAF di terze parti.
Basso

L'integrazione richiede la configurazione delle regole dei criteri di sicurezza per Google Cloud Armor o dei criteri firewall reCAPTCHA per i fornitori di servizi WAF di terze parti.

Basso

L'integrazione richiede la configurazione della protezione espressa reCAPTCHA WAF con un fornitore di servizi WAF o una richiesta a reCAPTCHA dal tuo server delle applicazioni.

Precisione del rilevamento Più alta

Un token di azione protegge le singole azioni dell'utente.

Alto

Un token di sessione protegge l'intera sessione utente sul dominio del sito.

Medio

La procedura prevede i reindirizzamenti alla pagina di verifica reCAPTCHA, che potrebbe non ricevere tutti gli indicatori specifici della pagina. Di conseguenza, il rilevamento di bot potrebbe essere meno accurato.

Basso

Gli indicatori lato client non sono disponibili.

Versione di reCAPTCHA supportata Chiavi basate sul punteggio e sulle caselle di controllo reCAPTCHA Chiavi basate sul punteggio reCAPTCHA La pagina di verifica reCAPTCHA utilizza la versione ottimizzata di reCAPTCHA per ridurre al minimo l'integrazione. Chiavi basate sul punteggio reCAPTCHA

Puoi utilizzare una o più funzionalità di reCAPTCHA per WAF in un'unica applicazione. Ad esempio, puoi scegliere di applicare un token di sessione a tutte le pagine e, in base al punteggio del token di sessione, puoi reindirizzare le richieste sospette alla pagina di verifica reCAPTCHA. Inoltre, puoi utilizzare un token di azione per azioni di alto profilo, come il pagamento. Per ulteriori informazioni, vedi gli esempi.

Passaggi successivi