Escolher o tipo adequado de chave reCAPTCHA

chaves reCAPTCHA (também conhecidas como chaves), permitem proteger seus endpoints verificando as interações do usuário em suas páginas da Web e aplicativos móveis.

Para escolher o tipo apropriado de chave reCAPTCHA, você precisa entender os tipos de chaves com suporte em cada plataforma e as diferenças entre elas.

Tipos de chaves reCAPTCHA

A tabela a seguir lista as chaves reCAPTCHA compatíveis com cada plataforma:

Tipos de chave reCAPTCHA Descrição Chaves compatíveis Tipo de integração de chave
Chaves reCAPTCHA para a Web Chaves para integrar o reCAPTCHA a páginas da Web. Chaves baseadas em pontuação SCORE
Chaves da caixa de seleção CHECKBOX
Chaves reCAPTCHA para aplicativos para dispositivos móveis Chaves para integrar o reCAPTCHA em apps Android e iOS. Chaves reCAPTCHA para Android SCORE
Chaves reCAPTCHA para iOS SCORE
Chaves reCAPTCHA para WAF Chaves para integrar o reCAPTCHA na camada do WAF. chaves de token de ação SCORE e CHECKBOX
chaves de token de sessão SCORE
chaves de página de desafio INVISIBLE
teclas expressas SCORE

Escolher um tipo de chave reCAPTCHA para a Web

Para sites, o reCAPTCHA fornece respostas baseadas em pontuação (sem desafio) e as teclas de caixa de seleção (desafio visual da caixa de seleção) para verificar as interações do usuário. Teclas ambas retornam uma pontuação para cada solicitação, que é baseada nas interações com seus site. Essa pontuação representa o nível de risco da interação e ajuda a tomar as ações apropriadas para seu site.

A tabela a seguir resume as diferenças entre as chaves de pontuação e de caixa de seleção. Ela também ajuda a escolher a chave apropriada de acordo com seus casos de uso:

Categoria de comparação Chave baseada em pontuação (recomendado) Chave de caixa de seleção
Descrição As chaves baseadas em pontuação permitem verificar se uma interação foi legítimos sem qualquer interação do usuário.

As chaves de caixa de seleção usam um teste que exige interação do usuário para verificar se o usuário não é um robô. Além disso, é possível usar chaves de caixa de seleção para proteger ações específicas com testes de CAPTCHA.
Como funciona

Com chaves baseadas em pontuação, a API reCAPTCHA Enterprise retorna uma pontuação, que pode ser usada para tomar medidas no contexto dos seus site.

Exemplos de ações incluem exigir mais fatores de autenticação, enviar uma postagem para a moderação ou limitar bots que podem estar extraindo conteúdo.

Uma chave de caixa de seleção renderiza uma caixa de seleção Não sou um robô em que o usuário precisa clicar para confirmar que não é um robô. Ela pode exibir um teste de CAPTCHA ou não. Nos dois casos, a API reCAPTCHA Enterprise retorna uma pontuação.

Os testes de CAPTCHA exigem que o usuário selecione determinados tipos de objeto, como placas de rua, em meio a uma coleção de imagens.

O GIF animado a seguir é um exemplo de chave de caixa de seleção:
reCAPTCHA_visual_challenge

A imagem a seguir mostra um exemplo de teste de CAPTCHA:

Um exemplo de teste de CAPTCHA

Antes de usar os testes de CAPTCHA, é necessário entender as ressalvas dos testes de CAPTCHA.
Plataformas compatíveis Sites e plataformas para dispositivos móveis. Somente sites.
Casos de uso

As chaves baseadas em pontuação são apropriadas para os seguintes casos de uso:

  • Sites com requisitos de acessibilidade.
  • Para transações relacionadas a pagamentos que preferem menos atritos para gerar taxas de conversão melhores.
  • Situações em que você quer usar mais recursos, como verificação de senha (detecção de vazamento de senha) ou autenticação multifator (MFA).
  • Sites acessados por aplicativos para dispositivos móveis.
As chaves de caixa de seleção são adequadas para formulários, logins e inscrições na Web páginas de destino. Embora isso possa causar mais atrito para os usuários, como a etapa extra do teste de CAPTCHA, isso ajuda a impedir ataques pouco sofisticados.

Ressalvas com os testes de CAPTCHA

Se você quiser usar chaves de caixa de seleção com testes de CAPTCHA para se proteger contra ataques automatizados, esteja ciente das seguintes ressalvas:

  • Os CAPTCHAs exigem interação do usuário, o que aumenta o atrito e pode diminuir as taxas de conversão.
  • Devido aos avanços na visão computacional e na inteligência das máquinas, os CAPTCHAs estão se tornando cada vez menos úteis para distinguir entre humanos e bots.
  • Os CAPTCHAs também estão ameaçados por invasores pagos que podem solucionar todos os tipos de teste.
  • Os CAPTCHAs não são acessíveis para todos os usuários. Por isso, eles podem não ser adequados se o site tiver requisitos de acessibilidade.

Escolher tipos de chaves reCAPTCHA para o WAF

A tabela a seguir mostra uma breve comparação entre tokens de ação e tokens de sessão reCAPTCHA página de desafio do reCAPTCHA e reCAPTCHA Express:

Categoria de comparação Tokens de ação reCAPTCHA Tokens de sessão reCAPTCHA Página de teste do reCAPTCHA reCAPTCHA Express
Caso de uso Use tokens de ação reCAPTCHA para proteger as ações do usuário, como login ou postagens de comentários. Use tokens de sessão reCAPTCHA para proteger toda a sessão de usuário no domínio do site. Use a página de desafio reCAPTCHA quando suspeitar de atividade de spam direcionada ao seu site e você e não é preciso filtrar os bots.

Esse método interrompe a atividade do usuário porque ele precisa verificar um teste de CAPTCHA.

 Use o reCAPTCHA Express quando o ambiente não oferecer suporte à integração do JavaScript do reCAPTCHA ou dos SDKs para dispositivos móveis.
Plataformas compatíveis Sites e aplicativos para dispositivos móveis Sites Sites APIs, sites, aplicativos móveis e dispositivos de IoT, como TVs e consoles de jogos
Esforço de integração Média

A integração requer o seguinte:

  • Instale o JavaScript reCAPTCHA nas páginas individuais dos seus ou instalar o SDK reCAPTCHA para dispositivos móveis no seu aplicativo para dispositivos móveis.
  • Anexe o token de ação ao cabeçalho da solicitação individual.
  • Configurar as regras da política de segurança do Google Cloud Armor ou as políticas de firewall reCAPTCHA para provedores de serviços de WAF terceirizados.
 Média

A integração requer o seguinte:

  • Instale o reCAPTCHA JavaScript nas páginas individuais do seu site.
  • Configure as regras da política de segurança do Google Cloud Armor ou as políticas de firewall do reCAPTCHA para provedores de serviços de WAF de terceiros.
 Baixa

A integração requer que você configure regras de política de segurança do Google Cloud Armor ou políticas de firewall do reCAPTCHA para provedores de serviços de WAF de terceiros.

Baixa

Para fazer a integração, você precisa configurar o reCAPTCHA Express com um provedor de serviços do WAF ou fazer uma solicitação do servidor do aplicativo para o reCAPTCHA.

Precisão da detecção Maior

Um token de ação protege ações individuais do usuário.

 Alta

Um token de sessão protege toda a sessão do usuário no domínio do site.

 Média

O processo envolve redirecionamentos para a página de teste do reCAPTCHA, que pode não receber todos os sinais específicos da página. Como resultado, a detecção de bots pode ser menos precisa.

 Baixa

Os indicadores do lado do cliente não estão disponíveis.

Versão compatível do reCAPTCHA Chaves de site reCAPTCHA baseadas em pontuação e com caixa de seleção Chaves baseadas em pontuação do reCAPTCHA A página de teste do reCAPTCHA usa a versão otimizada do reCAPTCHA para minimizar a integração. Chaves reCAPTCHA baseadas em pontuação

É possível usar um ou mais recursos do reCAPTCHA para WAF em um único aplicativo. Por exemplo, é possível aplicar um token de sessão a todas as páginas e, com base na pontuação do token de sessão, redirecionar solicitações suspeitas para a página de teste do reCAPTCHA. Além disso, é possível usar um token de ação para ações importantes, como a finalização de compra. Para mais informações, consulte os exemplos.

A seguir