Les clés reCAPTCHA (également appelées clés) vous permettent de protéger vos points de terminaison en vérifiant les interactions des utilisateurs sur vos pages Web et dans vos applications mobiles.
Pour choisir le type de clé reCAPTCHA approprié, vous devez comprendre les types de clés compatibles avec chaque plate-forme et leurs différences.
Types de clés reCAPTCHA
Le tableau suivant répertorie les clés reCAPTCHA compatibles avec chaque plate-forme:
| Types de clés reCAPTCHA | Description | Clés compatibles | Type d'intégration de clé |
|---|---|---|---|
| Clés reCAPTCHA pour le Web | Clés pour intégrer reCAPTCHA Enterprise sur les pages Web. | Clés basées sur des scores | SCORE |
| Clés de case à cocher | CHECKBOX |
||
| Clés reCAPTCHA pour les applications mobiles | Clés pour intégrer reCAPTCHA Enterprise dans les applications Android et iOS. | Clés reCAPTCHA pour Android | SCORE |
| Clés reCAPTCHA pour iOS | SCORE |
||
| Clés reCAPTCHA pour WAF | Clés pour intégrer reCAPTCHA Enterprise à la couche WAF. | clés de jeton d'action | SCORE et CHECKBOX |
| clés de jeton de session | SCORE |
||
| clés des pages de test | INVISIBLE |
||
| clés express | SCORE |
Choisir un type de clé reCAPTCHA pour le Web
Pour les sites Web, reCAPTCHA Enterprise fournit des clés basées sur des scores (sans question d'authentification) et des cases à cocher (test visuel des cases à cocher) pour vérifier les interactions des utilisateurs. Ces deux types de clés affichent un score pour chaque requête, qui est basé sur les interactions avec votre site. Ce score vous permet de comprendre le niveau de risque associé à l'interaction et vous aide à prendre les mesures appropriées pour votre site.
Le tableau suivant récapitule les différences entre les clés basées sur des scores et les cases à cocher, et vous aide à choisir la clé appropriée en fonction de vos cas d'utilisation:
| Catégorie de comparaison | Clé basée sur les scores (recommandé) | Clé de case à cocher |
|---|---|---|
| Description | Les clés basées sur des scores vous permettent de vérifier si une interaction est légitime sans aucune interaction de l'utilisateur. | Les clés de case à cocher utilisent une question d'authentification à cocher qui nécessite une interaction de l'utilisateur pour vérifier que l'utilisateur n'est pas un robot. Vous pouvez également utiliser des clés de case à cocher pour protéger des actions spécifiques à l'aide de tests CAPTCHA. |
| Fonctionnement | Avec les clés basées sur des scores, l'API reCAPTCHA Enterprise renvoie un score que vous pouvez utiliser pour agir au sein de votre site. Vous pouvez, par exemple, exiger des facteurs d'authentification supplémentaires, envoyer un post à la modération ou limiter les robots susceptibles de détourner du contenu. |
Une clé de case à cocher affiche une case à cocher Je ne suis pas un robot sur laquelle l'utilisateur doit cliquer pour confirmer qu'il ne s'agit pas d'un robot. Cette clé de case à cocher peut ou non les mettre au défi avec des tests CAPTCHA. Dans les deux cas, l'API reCAPTCHA Enterprise renvoie un score. Les tests CAPTCHA nécessitent que l'utilisateur sélectionne certains types d'objets, tels que des plaques de rue, dans une collection d'images. Le GIF animé suivant est un exemple de clé de case à cocher: L'image suivante montre un exemple de test CAPTCHA : Avant d'utiliser des tests CAPTCHA, vous devez comprendre les mises en garde concernant les tests CAPTCHA. |
| Plates-formes compatibles | Sites Web et plates-formes mobiles | Sites Web uniquement. |
| Cas d'utilisation |
Les clés basées sur des scores conviennent aux cas d'utilisation suivants:
|
Les clés de case à cocher sont adaptées aux formulaires, aux connexions et aux inscriptions sur les pages Web. Même si cela peut causer des frictions supplémentaires pour les utilisateurs, une étape supplémentaire comme un test CAPTCHA permet de dissuader les pirates informatiques moins sophistiqués. |
Mises en garde concernant les défis CAPTCHA
Si vous souhaitez utiliser des clés de case à cocher avec des tests CAPTCHA pour vous protéger contre les attaques automatisées, tenez compte des mises en garde suivantes:
- Les CAPTCHA nécessitent l'intervention de l'utilisateur, ce qui augmente les frictions et peut diminuer les taux de conversion.
- En raison des progrès de la vision par ordinateur et de l'intelligence artificielle, les CAPTCHA sont de moins en moins utiles pour distinguer les humains des robots.
- Les CAPTCHA sont également menacés par les pirates informatiques capables de résoudre tous les types de tests.
- Les CAPTCHA ne sont pas accessibles à tous les utilisateurs. Ils peuvent donc ne pas être adaptés si votre site Web présente des exigences d'accessibilité.
Choisir des types de clés reCAPTCHA pour WAF
Le tableau suivant compare brièvement les jetons d'action reCAPTCHA, les jetons de session reCAPTCHA, la page de test reCAPTCHA et la protection express reCAPTCHA Enterprise WAF:
| Catégorie de comparaison | Jetons d'action reCAPTCHA | Jetons de session reCAPTCHA | Page de test reCAPTCHA | Protection express reCAPTCHA Enterprise WAF |
|---|---|---|---|---|
| Cas d'utilisation | Utilisez des jetons d'action reCAPTCHA pour protéger les actions des utilisateurs, telles que la connexion ou les posts de commentaires. | Utilisez les jetons de session reCAPTCHA pour protéger l'intégralité de la session utilisateur sur le domaine du site. | Utilisez la page de test reCAPTCHA lorsque vous pensez qu'une activité de spam est dirigée vers votre site et que vous devez filtrer les bots.
Cette méthode interrompt l'activité de l'utilisateur, car il doit effectuer un test CAPTCHA. |
Utilisez la protection express reCAPTCHA Enterprise WAF lorsque votre environnement n'est pas compatible avec l'intégration du code JavaScript reCAPTCHA ou des SDK pour mobile. |
| Plates-formes compatibles | Sites Web et applications mobiles | Sites Web. | Sites Web. | API, sites Web, applications mobiles et appareils IoT (téléviseurs et consoles de jeu, par exemple) |
| Effort d'intégration | Moyenne
L'intégration nécessite d'effectuer les opérations suivantes :
|
Moyenne
L'intégration nécessite d'effectuer les opérations suivantes :
|
Faible
Pour procéder à l'intégration, vous devez configurer des règles de stratégie de sécurité pour Google Cloud Armor ou des stratégies de pare-feu reCAPTCHA pour les fournisseurs de services WAF tiers. |
Faible
Pour procéder à l'intégration, vous devez configurer la protection express reCAPTCHA Enterprise WAF avec un fournisseur de services WAF ou envoyer une requête à reCAPTCHA Enterprise depuis votre serveur d'applications. |
| Précision de la détection | La plus élevée
Un jeton d'action protège les actions individuelles des utilisateurs. |
Élevée
Un jeton de session protège l'intégralité de la session utilisateur sur le domaine du site. |
Moyenne
Le processus implique des redirections vers la page d'authentification reCAPTCHA, qui peut ne pas recevoir tous les signaux spécifiques à la page. Par conséquent, la détection des bots peut être moins précise. |
Faible
Les signaux côté client ne sont pas disponibles. |
| Version de reCAPTCHA compatible | Clés basées sur des scores et cases à cocher reCAPTCHA Enterprise | Clés basées sur des scores reCAPTCHA Enterprise | La page de test reCAPTCHA utilise la version optimisée de reCAPTCHA pour minimiser l'intégration. | Clés basées sur des scores reCAPTCHA Enterprise |
Vous pouvez utiliser une ou plusieurs fonctionnalités de reCAPTCHA Enterprise pour WAF dans une même application. Par exemple, vous pouvez choisir d'appliquer un jeton de session pour toutes les pages et, en fonction du score du jeton de session, rediriger les requêtes suspectes vers la page de test reCAPTCHA. Vous pouvez également utiliser un jeton d'action pour les actions importantes, telles que le règlement. Pour en savoir plus, consultez des exemples.
Étapes suivantes
- Créez des clés reCAPTCHA pour les sites Web.
- Créez des clés reCAPTCHA pour les applications mobiles.
- En savoir plus sur les clés reCAPTCHA pour WAF