reCAPTCHA-Schlüssel für Websites erstellen

Auf dieser Seite wird erläutert, wie Sie reCAPTCHA-Schlüssel (auch Schlüssel genannt) erstellen, um Nutzerinteraktionen auf Ihren Webseiten zu überprüfen.

reCAPTCHA-Schlüssel geben an, wie reCAPTCHA Enterprise für eine Website konfiguriert wird. Die Konfiguration enthält wichtige Optionen, z. B. ob CAPTCHA-Herausforderungen angezeigt werden sollen.

Hinweise

reCAPTCHA-Schlüssel erstellen

Die Anzahl der reCAPTCHA-Schlüssel, die Sie für ein Google Cloud-Projekt erstellen können, ist nicht begrenzt. Es empfiehlt sich, einen reCAPTCHA-Schlüssel pro Website zu erstellen.

Wir empfehlen, separate reCAPTCHA-Schlüssel für Staging- und Produktionsumgebungen zu erstellen. Andernfalls besteht die Gefahr, dass die reCAPTCHA-Risikoanalyse mit Daten aus Ihrer Testumgebung verschmutzt.

Am einfachsten erstellen Sie einen reCAPTCHA-Schlüssel über die Google Cloud Console. Alternativ können Sie die reCAPTCHA Enterprise API oder die Google Cloud CLI verwenden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite reCAPTCHA Enterprise auf.

    Zur Seite „reCAPTCHA Enterprise“

  2. Prüfen Sie, ob der Name Ihres Projekts in der Ressourcenauswahl oben auf der Seite angezeigt wird.

    Wenn Sie den Namen Ihres Projekts nicht sehen, klicken Sie auf die Ressourcenauswahl und wählen Sie Ihr Projekt aus.

  3. Klicken Sie auf Schlüssel erstellen.

  4. Geben Sie im Feld Anzeigename einen Anzeigenamen für den Schlüssel ein.

  5. Wählen Sie im Menü Plattformtyp auswählen die Option Website aus.

    Der Abschnitt Domainliste wird angezeigt.

  6. Geben Sie den Domainnamen für Ihre Website ein:

    1. Klicken Sie im Abschnitt Domainliste auf Domain hinzufügen.

    2. Geben Sie im Feld Domain den Namen Ihrer Domain ein.

    3. Optional: Klicken Sie zum Hinzufügen einer zusätzlichen Domain auf Domain hinzufügen und geben Sie den Namen einer anderen Domain in das Feld Domain ein. Sie können bis zu 250 Domains hinzufügen.

      Bei Websites darf der reCAPTCHA-Schlüssel nur für die von Ihnen angegebenen Domains und Subdomains verwendet werden. Sie können mehrere Domains angeben, wenn Sie Ihre Website von mehreren Domains bereitstellen. Wenn Sie eine Domain angeben (z. B. examplepetstore.com), müssen Sie ihre Subdomains nicht angeben (z. B. subdomain.examplepetstore.com).

      Wenn Sie einen Schlüssel für mehr als 250 Domains verwenden möchten, klicken Sie auf die Ein/Aus-Schaltfläche Domainbestätigung deaktivieren. reCAPTCHA Enterprise ignoriert dann die Domainliste. Sie müssen die Domainbestätigung selbst durchführen. Dazu sehen Sie sich in den von Ihnen erstellten Bewertungen das Feld tokenProperties.hostname an.

  7. Führen Sie je nach Typ des reCAPTCHA-Schlüssels, den Sie für Ihre Website erstellen möchten, die entsprechende Aktion aus:

    8. Punktzahlbasierte reCAPTCHA-Schlüssel erstellen

    1. Optional: Wenn du die Domainbestätigung deaktivieren oder AMP-Seiten zulassen möchtest, maximiere den Abschnitt Web Application Firewall (WAF), Domainbestätigung, AMP-Seiten und Herausforderung.
      1. Achten Sie darauf, dass die Ein/Aus-Schaltfläche Domainbestätigung deaktivieren deaktiviert ist, um den reCAPTCHA-Schlüssel für Ihre Domain und Subdomains zu schützen.

        Das Deaktivieren der Domainbestätigung stellt ein Sicherheitsrisiko dar, da es für die Website keine Einschränkungen gibt. Ihr reCAPTCHA-Schlüssel kann daher von allen Personen aufgerufen und verwendet werden.

      2. Wenn der wertbasierte Schlüssel für Accelerated Mobile Pages (AMP) verwendet werden soll, aktivieren Sie die Ein/Aus-Schaltfläche Dieser Schlüssel darf bei AMP-Seiten verwendet werden.

      3. Wenn Sie in Ihrer Nicht-Produktionsumgebung einen Wert angeben möchten, der vom Schlüssel zurückgegeben werden soll, wenn Bewertungen dafür erstellt werden, gehen Sie so vor:

        1. Klicken Sie auf die Ein/Aus-Schaltfläche Dies ist ein Testschlüssel.
        2. Geben Sie im Feld Punktzahl einen Wert zwischen 0 und 1, 0 ein.
      4. Klicken Sie auf Schlüssel erstellen.

      Der neu erstellte Schlüssel wird auf der Seite reCAPTCHA-Schlüssel aufgeführt.

    reCAPTCHA-Schlüssel für Kästchen erstellen

    1. Maximieren Sie den Bereich Web Application Firewall (WAF), Domainbestätigung, AMP-Seiten und Herausforderung.
    2. Achten Sie darauf, dass die Ein/Aus-Schaltfläche Domainbestätigung deaktivieren deaktiviert ist, um den reCAPTCHA-Schlüssel für Ihre Domain und Subdomains zu schützen.

      Das Deaktivieren der Domainbestätigung stellt ein Sicherheitsrisiko dar, da es für die Website keine Einschränkungen gibt. Ihr reCAPTCHA-Schlüssel kann daher von allen Personen aufgerufen und verwendet werden.

    3. Aktivieren Sie die Ein/Aus-Schaltfläche Kästchenherausforderung verwenden.
    4. Wählen Sie die entsprechende Option für die Bestätigungssicherheit aus.

      Die Sicherheitsoption für die Identitätsbestätigung steuert die Wahrscheinlichkeit, mit der ein Nutzer zur Eingabe einer sekundären Identitätsbestätigung aufgefordert wird. Dabei werden Nutzer aufgefordert, Bilder basierend auf einer identifizierten Kategorie auszuwählen, z. B. die Bilder mit einem Motorrad oder Straßenspiegel.

      Wenn Sie den besten Schutz vor Betrug bieten möchten, wählen Sie Höherer Schwierigkeitsgrad (höhere Sicherheit gegen Bots) aus.

      Wenn Sie Leichterste Herausforderung auswählen, ist es weniger wahrscheinlich, dass die Nutzer zur visuellen Aufgabe aufgefordert werden.

    5. Wenn Sie in Ihrer Nicht-Produktionsumgebung einen Wert angeben möchten, der vom Schlüssel zurückgegeben werden soll, wenn Bewertungen dafür erstellt werden, gehen Sie so vor:

      1. Klicken Sie auf die Ein/Aus-Schaltfläche Dies ist ein Testschlüssel.
      2. Geben Sie im Feld Punktzahl einen Wert zwischen 0 und 1, 0 ein.
      3. Wähle die entsprechende Option für Art der Herausforderung aus.
        • Manchmal wird Automatisch angezeigt.
        • Kein CAPTCHA zeigt keine Herausforderung an.
        • Unter Nicht lösbare Herausforderung werden die Bilder angezeigt, aber der Wettkampf wurde nicht bestanden.
      4. Klicken Sie auf Schlüssel erstellen.

      Der neu erstellte Schlüssel wird auf der Seite reCAPTCHA-Schlüssel aufgeführt.

gcloud

Verwenden Sie zum Erstellen von reCAPTCHA-Schlüsseln den Befehl gcloud recaptcha keys create.

Bevor Sie die folgenden Befehlsdaten verwenden, ersetzen Sie die folgenden Werte:

  • DISPLAY_NAME: Name des Schlüssels. In der Regel ein Websitename.
  • INTEGRATION_TYPE: Art der Integration. Geben Sie je nach Schlüsseltyp die folgenden Werte an:
    • score für wertbasierte Schlüssel.
    • checkbox für Kästchenschlüssel.
  • DOMAIN_NAME: Domains oder Subdomains von Websites, die den Schlüssel verwenden dürfen.

    Geben Sie mehrere Domains als durch Kommas getrennte Liste an.

    Wenn Sie einen Schlüssel für mehr als 250 Domains verwenden möchten, geben Sie --allow-all-domains an, um die Domainbestätigung zu deaktivieren. reCAPTCHA Enterprise ignoriert dann die Domainliste. Sie müssen die Domainbestätigung selbst durchführen. Dazu sehen Sie sich in den von Ihnen erstellten Bewertungen das Feld tokenProperties.hostname an.

    Das Deaktivieren der Domainbestätigung stellt ein Sicherheitsrisiko dar, da es für die Website keine Einschränkungen gibt. Ihr reCAPTCHA-Schlüssel kann daher von allen Personen aufgerufen und verwendet werden.

Führen Sie den Befehl gcloud retrotcha keys create aus:

Linux, macOS oder Cloud Shell


gcloud recaptcha keys create \
        --web \
        --display-name=DISPLAY_NAME  \
        --integration-type=INTEGRATION_TYPE \
        --domains=DOMAIN_NAME

Windows (PowerShell)


gcloud recaptcha keys create `
        --web `
        --display-name=DISPLAY_NAME  `
        --integration-type=INTEGRATION_TYPE `
        --domains=DOMAIN_NAME

Windows (cmd.exe)


gcloud recaptcha keys create ^
        --web ^
        --display-name=DISPLAY_NAME  ^
        --integration-type=INTEGRATION_TYPE ^
        --domains=DOMAIN_NAME

Die Antwort enthält den neu erstellten reCAPTCHA-Schlüssel.

REST

API-Referenzinformationen zu Schlüsseltypen und Integrationstypen finden Sie unter Schlüssel und Integrationstyp.

Bevor Sie die Anfragedaten verwenden, ersetzen Sie die folgenden Werte:

  • DISPLAY_NAME: Name des Schlüssels. In der Regel ein Websitename.
  • INTEGRATION_TYPE: Art der Integration. Geben Sie je nach Schlüsseltyp die folgenden Werte an:
    • score für wertbasierte Schlüssel.
    • checkbox für Kästchenschlüssel.
  • DOMAIN_NAME: Domains oder Subdomains von Websites, die den Schlüssel verwenden dürfen.

    Geben Sie mehrere Domains als durch Kommas getrennte Liste an.

    Wenn Sie einen Schlüssel für mehr als 250 Domains verwenden möchten, geben Sie --allow-all-domains an, um die Domainbestätigung zu deaktivieren. reCAPTCHA Enterprise ignoriert dann die Domainliste. Sie müssen die Domainbestätigung selbst durchführen. Dazu sehen Sie sich in den von Ihnen erstellten Bewertungen das Feld tokenProperties.hostname an.

    Das Deaktivieren der Domainbestätigung stellt ein Sicherheitsrisiko dar, da es für die Website keine Einschränkungen gibt. Ihr reCAPTCHA-Schlüssel kann daher von allen Personen aufgerufen und verwendet werden.

HTTP-Methode und URL: 

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

JSON-Text der Anfrage: 


{
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
  }
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/project-id/keys/6Ldqgs0UAAAAAIn4k7YxEB-LwEh5S9-Gv6IIWB8m",
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowAllDomains": false,
    "allowedDomains": [
      DOMAINS
    ],
    "allowAmpTraffic": false,
    "integrationType": "SCORE",
    "challengeSecurityPreference": "CHALLENGE_SECURITY_PREFERENCE_UNSPECIFIED"
  }
}

Optional: Geheimen reCAPTCHA-Legacy-Schlüssel suchen

Wenn Sie eine Drittanbieteranwendung einbinden möchten, die die Nicht-Enterprise-Version von reCAPTCHA verwendet, benötigen Sie den geheimen Legacy-Schlüssel.

Für jeden von Ihnen erstellten Websiteschlüssel wird von reCAPTCHA Enterprise ein geheimer reCAPTCHA-Legacy-Schlüssel (Legacy-geheimer Schlüssel) erstellt, den Sie mit Ihrer Drittanbieteranwendung verwenden können.

So finden Sie den geheimen Legacy-Schlüssel:

  1. Rufen Sie in der Google Cloud Console die Seite reCAPTCHA Enterprise auf.

    Zur Seite „reCAPTCHA Enterprise“

  2. Suchen Sie im Abschnitt Enterprise Keys (Enterprise-Schlüssel) nach dem von Ihnen erstellten reCAPTCHA-Schlüssel und klicken Sie auf den Schlüssel.

  3. Klicken Sie auf der Seite Key Details (Schlüsseldetails) unter dem Tab Integration auf Use Legacy Key (Legacy-Schlüssel verwenden). Ein Dialogfeld mit einer Anleitung zur Verwendung des geheimen Legacy-Schlüssels wird geöffnet.

Nächste Schritte