Clés reCAPTCHA (également appelées clés), vous permettent de protéger vos points de terminaison en vérifiant les interactions des utilisateurs sur vos pages Web et des applications mobiles.
Pour choisir le type de clé reCAPTCHA approprié, vous devez comprendre les types de clés compatibles avec chaque plate-forme et leurs différences.
Types de clés reCAPTCHA
Le tableau suivant répertorie les clés reCAPTCHA compatibles avec chaque plate-forme:
| Types de clés reCAPTCHA | Description | Clés compatibles | Type d'intégration de clé |
|---|---|---|---|
| Clés reCAPTCHA pour le Web | Clés pour intégrer reCAPTCHA pages Web. | Clés basées sur des scores | SCORE |
| Clés de case à cocher | CHECKBOX |
||
| Clés reCAPTCHA pour les applications mobiles | Clés pour intégrer reCAPTCHA dans les applications Android et iOS. | Clés reCAPTCHA pour Android | SCORE |
| Clés reCAPTCHA pour iOS | SCORE |
||
| Clés reCAPTCHA pour WAF | Clés permettant d'intégrer reCAPTCHA au niveau de la couche WAF. | clés de jeton d'action | SCORE et CHECKBOX |
| clés de jeton de session | SCORE |
||
| clés de la page d'authentification | INVISIBLE |
||
| touches express | SCORE |
Choisir un type de clé reCAPTCHA pour le Web
Pour les sites Web, reCAPTCHA fournit des tests basés sur des scores des cases à cocher (question d'authentification visuelle) pour vérifier les interactions des utilisateurs. Les deux touches renvoient un score pour chaque requête, basé sur les interactions avec vos sur votre site. Ce score vous permet de comprendre le niveau de risque associé à l'interaction et vous aide à prendre les mesures appropriées pour votre site.
Le tableau suivant récapitule les différences entre la tarification basée sur des scores et la case à cocher clés et vous aide à choisir la clé adaptée à vos cas d'utilisation:
| Catégorie de comparaison | Clé basée sur des scores (recommandé) | Clé de case à cocher |
|---|---|---|
| Description | Les clés basées sur des scores vous permettent de vérifier si une interaction est légitime sans aucune interaction de l'utilisateur. | Les clés de case à cocher utilisent une vérification avec case à cocher nécessitant une interaction de l'utilisateur pour vérifier qu'il n'est pas un robot. Vous pouvez également utiliser pour protéger des actions spécifiques avec des tests CAPTCHA. |
| Fonctionnement | Avec les clés basées sur des scores, l'API reCAPTCHA Enterprise renvoie un score que vous pouvez utiliser pour prendre des mesures dans le contexte de votre site. Vous pouvez, par exemple, exiger des facteurs d'authentification supplémentaires, envoyer un post à la modération ou limiter les robots susceptibles de détourner du contenu. |
Une clé de site de case à cocher affiche la case Je ne suis pas un robot sur laquelle un utilisateur doit cliquer pour confirmer qu'il n'est pas un robot. Cette clé de case à cocher peut ou non soumettre les utilisateurs à des tests CAPTCHA. Dans les deux cas, l'API reCAPTCHA Enterprise renvoie un score. Les tests CAPTCHA nécessitent que l'utilisateur sélectionne certains types d'objets, tels que des plaques de rue, dans une collection d'images. Voici un GIF animé montrant un exemple de clé de case à cocher : L'image suivante illustre un exemple de test CAPTCHA: 
Avant d'utiliser des tests CAPTCHA, vous devez comprendre les mises en garde concernant les tests CAPTCHA. |
| Plates-formes compatibles | Sites Web et plates-formes mobiles | Sites Web uniquement. |
| Cas d'utilisation |
Les clés basées sur des scores sont adaptées aux cas d'utilisation suivants :
|
Les clés de case à cocher sont adaptées aux formulaires, aux connexions et aux inscriptions sur le Web . Même si cela peut causer des frictions supplémentaires pour les utilisateurs, une étape supplémentaire comme un test CAPTCHA permet de dissuader les pirates informatiques moins sophistiqués. |
Mises en garde liées aux tests CAPTCHA
Si vous souhaitez utiliser des clés de case à cocher avec des tests CAPTCHA pour vous protéger contre les attaques automatiques, tenez compte des mises en garde suivantes :
- Les CAPTCHA nécessitent l'intervention de l'utilisateur, ce qui augmente les frictions et peut diminuer les taux de conversion.
- En raison des progrès de la vision par ordinateur et de l'intelligence artificielle, les CAPTCHA sont de moins en moins utiles pour distinguer les humains des robots.
- Les CAPTCHA sont également menacés par les pirates informatiques capables de résoudre tous les types de tests.
- Les CAPTCHA ne sont pas accessibles à tous les utilisateurs. Ils peuvent donc ne pas être adaptés si votre site Web présente des exigences d'accessibilité.
Choisir des types de clés reCAPTCHA pour WAF
Le tableau suivant présente une brève comparaison entre les jetons d'action reCAPTCHA, les jetons de session reCAPTCHA, la page de test reCAPTCHA et reCAPTCHA Express :
| Catégorie de comparaison | Jetons d'action reCAPTCHA | Jetons de session reCAPTCHA | Page de test reCAPTCHA | reCAPTCHA Express |
|---|---|---|---|---|
| Cas d'utilisation | Utilisez les jetons d'action reCAPTCHA pour protéger les actions des utilisateurs, telles que la connexion ou les commentaires. | Utilisez les jetons de session reCAPTCHA pour protéger l'intégralité de la session utilisateur sur le domaine du site. | Utilisez la page de test reCAPTCHA lorsque vous suspectez une activité de spam dirigée vers votre site et vers vous-même
pour exclure les bots.
Cette méthode interrompt l'activité de l'utilisateur, car il doit effectuer un test CAPTCHA. |
Utilisez reCAPTCHA Express lorsque votre environnement n'est pas compatible avec l'intégration du JavaScript reCAPTCHA ou des SDK pour mobile. |
| Plates-formes compatibles | Sites Web et applications mobiles | Sites Web | Sites Web | API, sites Web, applications mobiles et appareils IoT tels que les téléviseurs et les consoles de jeu |
| Efforts d'intégration | Moyen
L'intégration nécessite d'effectuer les opérations suivantes :
|
Moyen
L'intégration nécessite d'effectuer les opérations suivantes :
|
Faible
L'intégration nécessite de configurer des règles de stratégie de sécurité pour Google Cloud Armor ou des règles de pare-feu reCAPTCHA pour les fournisseurs de services WAF tiers. |
Faible
Pour l'intégration, vous devez configurer reCAPTCHA Express avec un fournisseur de services WAF ou envoyer une requête de votre serveur d'application à reCAPTCHA. |
| Précision de la détection | Le plus élevé
Un jeton d'action protège les actions individuelles des utilisateurs. |
Élevé
Un jeton de session protège l'intégralité de la session utilisateur sur le domaine du site. |
Moyen
Le processus implique des redirections vers la page d'authentification reCAPTCHA, qui peut ne pas recevoir tous les signaux spécifiques à la page. Par conséquent, la détection des bots peut être moins précise. |
Faible
Les signaux côté client ne sont pas disponibles. |
| Version de reCAPTCHA compatible | Clés de case à cocher et basées sur des scores reCAPTCHA | Clés reCAPTCHA basées sur des scores | La page de test reCAPTCHA utilise la version optimisée de reCAPTCHA pour minimiser l'intégration. | Clés basées sur des scores reCAPTCHA |
Vous pouvez utiliser une ou plusieurs fonctionnalités de reCAPTCHA pour WAF dans une même application. Par exemple, vous pouvez choisir d'appliquer un jeton de session pour toutes les pages et, en fonction du score du jeton de session, rediriger les requêtes suspectes vers la page de test reCAPTCHA. Vous pouvez également utiliser un jeton d'action pour les actions importantes, telles que le règlement. Pour en savoir plus, consultez des exemples.
Étape suivante
- Créez des clés reCAPTCHA pour des sites Web.
- Créez des clés reCAPTCHA pour les applications mobiles.
- En savoir plus sur les clés reCAPTCHA pour WAF