Mit reCAPTCHA-Schlüsseln (auch Schlüssel genannt) können Sie Ihre Endpunkte schützen, indem Sie Nutzerinteraktionen auf Ihren Webseiten und in Ihren mobilen Apps verifizieren.
Um den passenden reCAPTCHA-Schlüsseltyp auszuwählen, müssen Sie die für die einzelnen Plattformen unterstützten Schlüsseltypen und ihre Unterschiede kennen.
Arten von reCAPTCHA-Schlüsseln
In der folgenden Tabelle sind reCAPTCHA-Schlüssel aufgeführt, die für jede Plattform unterstützt werden:
| reCAPTCHA-Schlüsseltypen | Beschreibung | Unterstützte Tasten | Schlüsselintegrationstyp |
|---|---|---|---|
| reCAPTCHA-Schlüssel für das Web | Schlüssel zum Einbinden von reCAPTCHA in Webseiten. | Wertbasierte Schlüssel | SCORE |
| Kästchenschlüssel | CHECKBOX |
||
| reCAPTCHA-Schlüssel für mobile Apps | Schlüssel zum Einbinden von reCAPTCHA in Android- und iOS-Apps. | reCAPTCHA-Schlüssel für Android | SCORE |
| reCAPTCHA-Schlüssel für iOS | SCORE |
||
| reCAPTCHA-Schlüssel für WAF | Schlüssel zum Einbinden von reCAPTCHA auf der WAF-Ebene. | Aktionstokenschlüssel | SCORE und CHECKBOX |
| Sitzungstokenschlüssel | SCORE |
||
| Schlüssel für die Challenge-Seite | INVISIBLE |
||
| Schnelltasten | SCORE |
reCAPTCHA-Schlüsseltyp für das Web auswählen
Für Websites bietet reCAPTCHA wertbasierte Schlüssel (keine Abfrage) und Schlüssel für das Kästchen (visuelle Aufgabe vom Typ „Kästchen“), um Nutzerinteraktionen zu verifizieren. Beide Schlüsseltypen geben für jede Anfrage einen Wert zurück, der auf den Interaktionen mit Ihrer Website basiert. Anhand dieses Werts können Sie das Risiko einer Interaktion einschätzen und geeignete Maßnahmen für Ihre Website ergreifen.
In der folgenden Tabelle werden die Unterschiede zwischen wertbasierten Schlüsseln und Kästchenschlüssel zusammengefasst. Sie hilft Ihnen dabei, den passenden Schlüssel für Ihre Anwendungsfälle auszuwählen:
| Vergleichskategorie | Wertbasierter Schlüssel (empfohlen) | Kästchenschlüssel |
|---|---|---|
| Beschreibung | Mit wertbasierten Schlüsseln können Sie prüfen, ob eine Interaktion ohne Nutzerinteraktion legitim ist. | Kästchenschlüssel verwenden eine Kästchen-Abfrage, bei der bestätigt werden muss, dass der Nutzer kein Roboter ist. Außerdem können Sie Kästchenschlüssel verwenden, um bestimmte Aktionen mit CAPTCHA-Herausforderungen zu schützen. |
| Funktionsweise | Bei wertbasierten Schlüsseln gibt die reCAPTCHA Enterprise API eine Punktzahl zurück, mit der Sie Maßnahmen im Kontext Ihrer Website ergreifen können. Sie können beispielsweise zusätzliche Authentifizierungsfaktoren anfordern, Beiträge zur Moderation senden oder Bots drosseln, die eventuell Inhalte extrahieren. |
Durch einen Kästchenschlüssel wird das Kästchen Ich bin kein Roboter gerendert. Nutzer müssen darauf klicken, um zu bestätigen, dass es sich nicht um einen Roboter handelt. Mit diesem Kästchenschlüssel können CAPTCHA-Herausforderungen verlangt werden oder auch nicht. In beiden Fällen gibt die reCAPTCHA Enterprise API eine Punktzahl zurück. Bei CAPTCHA-Abfragen muss ein Nutzer bestimmte Arten von Objekten wie Straßenschilder aus einer Sammlung von Bildern auswählen. Das folgende animierte GIF ist ein Beispiel für einen Kästchenschlüssel: Die folgende Abbildung zeigt ein Beispiel für eine CAPTCHA-Abfrage: 
Bevor Sie CAPTCHA-Herausforderungen verwenden können, müssen Sie die Vorsichtsmaßnahmen für CAPTCHA-Abfragen verstehen. |
| Unterstützte Plattformen | Websites und mobile Plattformen. | Nur Websites. |
| Anwendungsfälle |
Wertbasierte Schlüssel eignen sich für die folgenden Anwendungsfälle:
|
Kästchenschlüssel eignen sich für Formulare, Anmeldungen und Registrierungen auf Webseiten. Obwohl dies für Nutzer zusätzlichen Aufwand bedeutet, hilft ein zusätzlicher Schritt wie z. B. eine CAPTCHA-Abfrage dabei, ungeübte Angreifer abzuwehren. |
Warnungen bei CAPTCHA-Herausforderungen
Wenn Sie Kästchenschlüssel mit CAPTCHA-Herausforderungen zum Schutz vor automatisierten Angriffen verwenden möchten, beachten Sie die folgenden Einschränkungen:
- CAPTCHAs erfordern eine Nutzerinteraktion, was den Aufwand erhöht und die Conversion-Rate senken kann.
- Aufgrund der Fortschritte im maschinelles Sehen und der Maschinenintelligenz werden CAPTCHAs weniger nützlich, um zwischen Menschen und Bots zu unterscheiden.
- CAPTCHAs werden auch von bezahlten Angreifern bedroht, die alle Arten von Herausforderungen lösen können.
- CAPTCHAs sind nicht barrierefrei. Sie sind daher möglicherweise nicht geeignet, wenn Ihre Website Anforderungen an die Barrierefreiheit stellt.
reCAPTCHA-Schlüsseltypen für WAF auswählen
Die folgende Tabelle zeigt einen kurzen Vergleich von reCAPTCHA-Aktionstokens, reCAPTCHA-Sitzungstokens, reCAPTCHA-Abfrageseite und reCAPTCHA WAF-Express-Schutz:
| Vergleichskategorie | reCAPTCHA-Aktionstokens | reCAPTCHA-Sitzungstoken | reCAPTCHA-Abfrageseite | Express-Schutz für reCAPTCHA WAF |
|---|---|---|---|---|
| Anwendungsfall | Verwenden Sie reCAPTCHA-Aktionstokens, um Nutzeraktionen wie Anmelden oder Kommentare posten zu schützen. | Verwenden Sie reCAPTCHA-Sitzungstokens, um die gesamte Nutzersitzung auf der Domain der Website zu schützen. | Verwenden Sie die reCAPTCHA-Abfrageseite, wenn Sie den Verdacht haben, dass Spamaktivitäten auf Ihre Website gerichtet sind und Sie Bots herausfiltern müssen.
Diese Methode unterbricht die Aktivität eines Nutzers, da der Nutzer eine CAPTCHA-Eingabe bestätigen muss. |
Verwenden Sie den reCAPTCHA-WAF-Express-Schutz, wenn Ihre Umgebung die Einbindung des reCAPTCHA-JavaScript-Codes oder der mobilen SDKs nicht unterstützt. |
| Unterstützte Plattformen | Websites und mobile Anwendungen | Websites | Websites | APIs, Websites, mobile Apps und IoT-Geräte wie Fernseher und Spielekonsolen |
| Integrationsaufwand | Mittel
Führen Sie für die Einbindung folgende Schritte aus:
|
Mittel
Führen Sie für die Einbindung folgende Schritte aus:
|
Niedrig
Für die Integration müssen Sie Sicherheitsrichtlinienregeln für Google Cloud Armor oder reCAPTCHA-Firewall-Richtlinien für WAF-Dienstanbieter von Drittanbietern konfigurieren. |
Niedrig
Für die Integration müssen Sie entweder den reCAPTCHA WAF Express-Schutz mit einem WAF-Dienstanbieter konfigurieren oder eine Anfrage von Ihrem Anwendungsserver an reCAPTCHA stellen. |
| Erkennungsgenauigkeit | Höchste
Ein Aktionstoken schützt einzelne Nutzeraktionen. |
Hoch
Ein Sitzungstoken schützt die gesamte Nutzersitzung auf der Domain der Website. |
Mittel
Der Prozess umfasst Weiterleitungen zur reCAPTCHA-Herausforderungsseite, die möglicherweise nicht alle seitenspezifischen Signale empfängt. Daher ist die Bot-Erkennung möglicherweise weniger genau. |
Niedrig
Clientseitige Signale sind nicht verfügbar. |
| Unterstützte reCAPTCHA-Version | Wertbasierte reCAPTCHA- und Kästchenschlüssel | Wertbasierte reCAPTCHA-Schlüssel | Die reCAPTCHA-Herausforderungsseite verwendet die optimierte Version von reCAPTCHA, um die Integration zu minimieren. | Wertbasierte reCAPTCHA-Schlüssel |
Sie können eine oder mehrere Funktionen von reCAPTCHA for WAF in einer einzelnen Anwendung verwenden. Sie können beispielsweise ein Sitzungs-Token auf alle Seiten anwenden. Basierend auf der Punktzahl des Sitzungs-Tokens können Sie verdächtige Anfragen an die reCAPTCHA-Problemseite weiterleiten. Sie können auch ein Aktionstoken für wichtige Aktionen wie die Kasse verwenden. Weitere Informationen finden Sie in den Beispielen.
Nächste Schritte
- reCAPTCHA-Schlüssel für Websites erstellen.
- reCAPTCHA-Schlüssel für mobile Anwendungen erstellen
- Weitere Informationen zu reCAPTCHA-Schlüsseln für WAF