Choisir le type de clé reCAPTCHA approprié

Clés reCAPTCHA (également appelées clés), vous permettent de protéger vos points de terminaison en vérifiant les interactions des utilisateurs sur vos pages Web et des applications mobiles.

Pour choisir le type de clé reCAPTCHA approprié, vous devez comprendre les types de clés compatibles avec chaque plate-forme et leurs différences.

Types de clés reCAPTCHA

Le tableau suivant répertorie les clés reCAPTCHA compatibles avec chaque plate-forme:

Types de clés reCAPTCHA Description Clés compatibles Type d'intégration de clé
Clés reCAPTCHA pour le Web Clés pour intégrer reCAPTCHA pages Web. Clés basées sur des scores SCORE
Clés de case à cocher CHECKBOX
Clés reCAPTCHA pour les applications mobiles Clés pour intégrer reCAPTCHA dans les applications Android et iOS. Clés reCAPTCHA pour Android SCORE
Clés reCAPTCHA pour iOS SCORE
Clés reCAPTCHA pour WAF Clés permettant d'intégrer reCAPTCHA au niveau de la couche WAF. clés de jeton d'action SCORE et CHECKBOX
clés de jeton de session SCORE
clés de la page d'authentification INVISIBLE
touches express SCORE

Choisir un type de clé reCAPTCHA pour le Web

Pour les sites Web, reCAPTCHA fournit des tests basés sur des scores des cases à cocher (question d'authentification visuelle) pour vérifier les interactions des utilisateurs. Les deux touches renvoient un score pour chaque requête, basé sur les interactions avec vos sur votre site. Ce score vous permet de comprendre le niveau de risque associé à l'interaction et vous aide à prendre les mesures appropriées pour votre site.

Le tableau suivant récapitule les différences entre la tarification basée sur des scores et la case à cocher clés et vous aide à choisir la clé adaptée à vos cas d'utilisation:

Catégorie de comparaison Clé basée sur des scores (recommandé) Clé de case à cocher
Description Les clés basées sur des scores vous permettent de vérifier si une interaction est légitime sans aucune interaction de l'utilisateur.

Les clés de case à cocher utilisent une vérification avec case à cocher nécessitant une interaction de l'utilisateur pour vérifier qu'il n'est pas un robot. Vous pouvez également utiliser pour protéger des actions spécifiques avec des tests CAPTCHA.

Fonctionnement

Avec les clés basées sur des scores, l'API reCAPTCHA Enterprise renvoie un score que vous pouvez utiliser pour prendre des mesures dans le contexte de votre site.

Vous pouvez, par exemple, exiger des facteurs d'authentification supplémentaires, envoyer un post à la modération ou limiter les robots susceptibles de détourner du contenu.

Une clé de site de case à cocher affiche la case Je ne suis pas un robot sur laquelle un utilisateur doit cliquer pour confirmer qu'il n'est pas un robot. Cette clé de case à cocher peut ou non soumettre les utilisateurs à des tests CAPTCHA. Dans les deux cas, l'API reCAPTCHA Enterprise renvoie un score.

Les tests CAPTCHA nécessitent que l'utilisateur sélectionne certains types d'objets, tels que des plaques de rue, dans une collection d'images.

Voici un GIF animé montrant un exemple de clé de case à cocher :
reCAPTCHA_visual_challenge

L'image suivante illustre un exemple de test CAPTCHA:

Exemple de test CAPTCHA

Avant d'utiliser des tests CAPTCHA, vous devez comprendre les mises en garde concernant les tests CAPTCHA.

Plates-formes compatibles Sites Web et plates-formes mobiles Sites Web uniquement.
Cas d'utilisation

Les clés basées sur des scores sont adaptées aux cas d'utilisation suivants :

  • Sites Web présentant des exigences d'accessibilité
  • Pour les transactions liées aux paiements qui privilégient la fluidité pour améliorer les taux de conversion.
  • Scénarios dans lesquels vous souhaitez utiliser des fonctionnalités supplémentaires telles que la vérification de mot de passe (détection de fuites de mots de passe) ou l'authentification multifacteur (MFA).
  • Sites accessibles via des applications mobiles.
Les clés de case à cocher sont adaptées aux formulaires, aux connexions et aux inscriptions sur le Web . Même si cela peut causer des frictions supplémentaires pour les utilisateurs, une étape supplémentaire comme un test CAPTCHA permet de dissuader les pirates informatiques moins sophistiqués.

Mises en garde liées aux tests CAPTCHA

Si vous souhaitez utiliser des clés de case à cocher avec des tests CAPTCHA pour vous protéger contre les attaques automatiques, tenez compte des mises en garde suivantes :

  • Les CAPTCHA nécessitent l'intervention de l'utilisateur, ce qui augmente les frictions et peut diminuer les taux de conversion.
  • En raison des progrès de la vision par ordinateur et de l'intelligence artificielle, les CAPTCHA sont de moins en moins utiles pour distinguer les humains des robots.
  • Les CAPTCHA sont également menacés par les pirates informatiques capables de résoudre tous les types de tests.
  • Les CAPTCHA ne sont pas accessibles à tous les utilisateurs. Ils peuvent donc ne pas être adaptés si votre site Web présente des exigences d'accessibilité.

Choisir des types de clés reCAPTCHA pour WAF

Le tableau suivant présente une brève comparaison entre les jetons d'action reCAPTCHA, les jetons de session reCAPTCHA, la page de test reCAPTCHA et reCAPTCHA Express :

Catégorie de comparaison Jetons d'action reCAPTCHA Jetons de session reCAPTCHA Page de test reCAPTCHA reCAPTCHA Express
Cas d'utilisation Utilisez les jetons d'action reCAPTCHA pour protéger les actions des utilisateurs, telles que la connexion ou les commentaires. Utilisez les jetons de session reCAPTCHA pour protéger l'intégralité de la session utilisateur sur le domaine du site. Utilisez la page de test reCAPTCHA lorsque vous suspectez une activité de spam dirigée vers votre site et vers vous-même pour exclure les bots.

Cette méthode interrompt l'activité de l'utilisateur, car il doit effectuer un test CAPTCHA.

Utilisez reCAPTCHA Express lorsque votre environnement n'est pas compatible avec l'intégration du JavaScript reCAPTCHA ou des SDK pour mobile.
Plates-formes compatibles Sites Web et applications mobiles Sites Web Sites Web API, sites Web, applications mobiles et appareils IoT tels que les téléviseurs et les consoles de jeu
Efforts d'intégration Moyen

L'intégration nécessite d'effectuer les opérations suivantes :

  • Installez le code JavaScript reCAPTCHA sur les pages individuelles de votre site ou installez le SDK mobile reCAPTCHA sur votre application mobile.
  • Associez le jeton d'action à l'en-tête de requête individuel.
  • Configurez des règles de stratégie de sécurité Google Cloud Armor ou des stratégies de pare-feu reCAPTCHA pour les fournisseurs de services WAF tiers.
Moyen

L'intégration nécessite d'effectuer les opérations suivantes :

  • Installez le code JavaScript reCAPTCHA sur les pages individuelles de votre site.
  • Configurer des règles de stratégie de sécurité Google Cloud Armor ou des stratégies de pare-feu reCAPTCHA pour les fournisseurs de services WAF tiers.
Faible

L'intégration nécessite de configurer des règles de stratégie de sécurité pour Google Cloud Armor ou des règles de pare-feu reCAPTCHA pour les fournisseurs de services WAF tiers.

Faible

Pour l'intégration, vous devez configurer reCAPTCHA Express avec un fournisseur de services WAF ou envoyer une requête de votre serveur d'application à reCAPTCHA.

Précision de la détection Le plus élevé

Un jeton d'action protège les actions individuelles des utilisateurs.

Élevé

Un jeton de session protège l'intégralité de la session utilisateur sur le domaine du site.

Moyen

Le processus implique des redirections vers la page d'authentification reCAPTCHA, qui peut ne pas recevoir tous les signaux spécifiques à la page. Par conséquent, la détection des bots peut être moins précise.

Faible

Les signaux côté client ne sont pas disponibles.

Version de reCAPTCHA compatible Clés de case à cocher et basées sur des scores reCAPTCHA Clés reCAPTCHA basées sur des scores La page de test reCAPTCHA utilise la version optimisée de reCAPTCHA pour minimiser l'intégration. Clés basées sur des scores reCAPTCHA

Vous pouvez utiliser une ou plusieurs fonctionnalités de reCAPTCHA pour WAF dans une même application. Par exemple, vous pouvez choisir d'appliquer un jeton de session pour toutes les pages et, en fonction du score du jeton de session, rediriger les requêtes suspectes vers la page de test reCAPTCHA. Vous pouvez également utiliser un jeton d'action pour les actions importantes, telles que le règlement. Pour en savoir plus, consultez des exemples.

Étape suivante