As chaves reCAPTCHA (também conhecidas como chaves) permitem proteger seus endpoints verificando as interações do usuário nas suas páginas da Web e aplicativos para dispositivos móveis.
Para escolher o tipo apropriado de chave reCAPTCHA, você precisa entender os tipos de chave compatíveis com cada plataforma e as diferenças.
Tipos de chaves reCAPTCHA
A tabela a seguir lista as chaves reCAPTCHA compatíveis com cada plataforma:
| Tipos de chave reCAPTCHA | Descrição | Chaves com suporte | Tipo de integração da chave |
|---|---|---|---|
| Chaves reCAPTCHA para Web | Chaves para integrar o reCAPTCHA Enterprise em páginas da Web. | Chaves baseadas em pontuação | SCORE |
| Chaves da caixa de seleção | CHECKBOX |
||
| Chaves reCAPTCHA para aplicativos móveis | Chaves para integrar o reCAPTCHA Enterprise em apps Android e iOS. | Chaves reCAPTCHA para Android | SCORE |
| Chaves reCAPTCHA para iOS | SCORE |
||
| Chaves reCAPTCHA para WAF | Chaves para integrar o reCAPTCHA Enterprise na camada do WAF. | chaves de token de ação | SCORE e CHECKBOX |
| chaves de token de sessão | SCORE |
||
| teclas da página de desafio | INVISIBLE |
||
| chaves expressas | SCORE |
Escolher um tipo de chave reCAPTCHA para a Web
Para sites, o reCAPTCHA Enterprise oferece chaves baseadas em pontuação (sem desafio) e caixa de seleção (desafio visual com caixa de seleção) para verificar as interações do usuário. Os dois tipos de chave retornam uma pontuação para cada solicitação, que se baseia nas interações com seu site. Essa pontuação permite entender o nível de risco que a interação representa e ajuda você a tomar as medidas apropriadas para seu site.
A tabela a seguir resume as diferenças entre chaves baseadas em pontuação e de caixa de seleção e ajuda você a escolher a chave apropriada com base nos seus casos de uso:
| Categoria de comparação | Chave com base em pontuação (recomendado) | Chave da caixa de seleção |
|---|---|---|
| Descrição | As chaves baseadas em pontuação permitem verificar se uma interação é legítima sem nenhuma interação do usuário. | As chaves de caixa de seleção usam um desafio de caixa de seleção que requer interação do usuário para verificar se o usuário não é um robô. Além disso, você pode usar chaves de caixa de seleção para proteger ações específicas com desafios de CAPTCHA. |
| Como funciona | Com chaves baseadas em pontuação, a API reCAPTCHA Enterprise retorna uma pontuação, que pode ser usada para executar ações no contexto do site. Exemplos de ações incluem exigir mais fatores de autenticação, enviar uma postagem para a moderação ou limitar bots que podem estar extraindo conteúdo. |
Uma chave de caixa de seleção renderiza uma caixa de seleção Não sou um robô, em que o usuário precisa clicar para verificar que não é um robô. Essa chave de caixa de seleção pode ou não desafiar os usuários com desafios de CAPTCHA. Nos dois casos, a API reCAPTCHA Enterprise retorna uma pontuação. Os testes de CAPTCHA exigem que o usuário selecione determinados tipos de objeto, como placas de rua, em meio a uma coleção de imagens. Este GIF animado é um exemplo de chave de caixa de seleção: A imagem é um exemplo de teste de CAPTCHA: Antes de usar os testes de CAPTCHA, é necessário entender as ressalvas dos testes de CAPTCHA. |
| Plataformas compatíveis | Sites e plataformas para dispositivos móveis. | Somente sites. |
| Casos de uso |
As chaves baseadas em pontuação são adequadas para os seguintes casos de uso:
|
As chaves de caixa de seleção são adequadas para formulários, logins e inscrições em páginas da Web. Embora isso possa causar mais atrito para os usuários, como a etapa extra do teste de CAPTCHA, isso ajuda a impedir ataques pouco sofisticados. |
Advertências com desafios de CAPTCHA
Se você quiser usar chaves de caixa de seleção com desafios CAPTCHA para se proteger contra ataques automatizados, esteja ciente das seguintes ressalvas:
- Os CAPTCHAs exigem interação do usuário, o que aumenta o atrito e pode diminuir as taxas de conversão.
- Devido aos avanços na visão computacional e na inteligência das máquinas, os CAPTCHAs estão se tornando cada vez menos úteis para distinguir entre humanos e bots.
- Os CAPTCHAs também estão ameaçados por invasores pagos que podem solucionar todos os tipos de teste.
- Os CAPTCHAs não são acessíveis para todos os usuários. Por isso, eles podem não ser adequados se o site tiver requisitos de acessibilidade.
Escolher tipos de chave reCAPTCHA para WAF
A tabela a seguir mostra uma breve comparação entre os tokens de ação e de sessão do reCAPTCHA, da página de desafio do reCAPTCHA e da proteção expressa do reCAPTCHA WAF:
| Categoria de comparação | Tokens de ação reCAPTCHA | Tokens de sessão reCAPTCHA | Página de teste do reCAPTCHA | Proteção expressa do reCAPTCHA WAF |
|---|---|---|---|---|
| Caso de uso | Use tokens de ação do reCAPTCHA para proteger ações do usuário, como login ou postagens de comentários. | Use tokens de sessão reCAPTCHA para proteger toda a sessão de usuário no domínio do site. | Use a página de desafio do reCAPTCHA quando você suspeitar de atividade de spam direcionada ao seu site e precisar filtrar bots.
Esse método interrompe a atividade do usuário porque ele precisa verificar um teste de CAPTCHA. |
Use a proteção expressa do reCAPTCHA WAF quando seu ambiente não oferecer suporte à integração do reCAPTCHA JavaScript ou dos SDKs para dispositivos móveis. |
| Plataformas com suporte | Sites e aplicativos para dispositivos móveis | Sites | Sites | APIs, sites, aplicativos para dispositivos móveis e dispositivos de IoT, como TVs e consoles de jogos |
| Esforço de integração | Meio
A integração requer o seguinte:
|
Meio
A integração requer o seguinte:
|
Baixa
A integração exige que você configure regras de política de segurança para o Google Cloud Armor ou políticas de firewall reCAPTCHA para provedores de serviços WAF de terceiros. |
Baixa
A integração requer que você configure a proteção expressa do reCAPTCHA WAF com um provedor de serviços WAF ou faça uma solicitação do seu servidor de aplicativos para o reCAPTCHA Enterprise. |
| Precisão da detecção | Maior
Um token de ação protege as ações individuais do usuário. |
Alta
Um token de sessão protege toda a sessão do usuário no domínio do site. |
Meio
O processo envolve redirecionamentos para a página de teste do reCAPTCHA, que pode não receber todos os sinais específicos da página. Como resultado, a detecção de bots pode ser menos precisa. |
Baixa
Os indicadores do lado do cliente não estão disponíveis. |
| Versão compatível do reCAPTCHA | Chaves de caixa de seleção e com base em pontuação do reCAPTCHA Enterprise | Chaves baseadas em pontuação do reCAPTCHA Enterprise | A página de teste do reCAPTCHA usa a versão otimizada do reCAPTCHA para minimizar a integração. | Chaves baseadas em pontuação do reCAPTCHA Enterprise |
É possível usar um ou mais recursos do reCAPTCHA Enterprise para WAF em um único aplicativo. Por exemplo, é possível aplicar um token de sessão a todas as páginas e, com base na pontuação do token de sessão, redirecionar solicitações suspeitas para a página de teste do reCAPTCHA. Além disso, é possível usar um token de ação para ações importantes, como a finalização de compra. Para mais informações, consulte exemplos.
A seguir
- Crie chaves reCAPTCHA para sites.
- Crie chaves reCAPTCHA para aplicativos móveis.
- Saiba mais sobre as chaves reCAPTCHA para WAF.