Geeigneten reCAPTCHA-Schlüsseltyp auswählen

Mit reCAPTCHA-Schlüsseln (auch Schlüssel genannt) können Sie Ihre Endpunkte schützen, indem Sie die Nutzerinteraktionen auf Ihren Webseiten und in Ihren mobilen Anwendungen überprüfen.

Um den passenden reCAPTCHA-Schlüsseltyp auszuwählen, müssen Sie die Typen der Schlüssel, die für die jeweilige Plattform unterstützt werden, und ihre Unterschiede.

Arten von reCAPTCHA-Schlüsseln

In der folgenden Tabelle sind die reCAPTCHA-Schlüssel aufgeführt, die für die einzelnen Plattformen unterstützt werden:

reCAPTCHA-Schlüsseltypen Beschreibung Unterstützte Tasten Schlüsselintegrationstyp
reCAPTCHA-Schlüssel für das Web Schlüssel zum Einbinden von reCAPTCHA auf Webseiten. Wertbasierte Schlüssel SCORE
Kästchenschlüssel CHECKBOX
reCAPTCHA-Schlüssel für mobile Anwendungen Schlüssel zur Einbindung von reCAPTCHA in Android- und iOS-Apps. reCAPTCHA-Schlüssel für Android SCORE
reCAPTCHA-Schlüssel für iOS SCORE
reCAPTCHA-Schlüssel für WAF Schlüssel zur Integration von reCAPTCHA in der WAF-Ebene. Aktionstokenschlüssel SCORE und CHECKBOX
Sitzungstokenschlüssel SCORE
Schlüssel für die Challenge-Seite INVISIBLE
Schnelltasten SCORE

reCAPTCHA-Schlüsseltyp für das Web auswählen

Für Websites bietet reCAPTCHA punktzahlbasierte (keine Herausforderung) und (Kästchen, visuelle Herausforderung) Schlüssel zu verwenden, um Nutzerinteraktionen zu verifizieren. Beide Schlüsseltypen geben für jede Anfrage einen Score auf Basis der Interaktionen mit Ihrer Website zurück. Diese Bewertung gibt Aufschluss über das Risiko, das die Interaktion darstellt und Sie können geeignete Maßnahmen für Ihre Website ergreifen.

In der folgenden Tabelle sind die Unterschiede zwischen punktzahlbasierten und Kästchenschlüsseln zusammengefasst. Außerdem können Sie den entsprechenden Schlüssel anhand Ihrer Anwendungsfälle auswählen:

Vergleichskategorie Bewertungsbasierter Schlüssel (empfohlen) Kästchenschlüssel
Beschreibung Mithilfe von punktzahlbasierten Schlüsseln können Sie prüfen, ob eine Interaktion ohne Nutzerinteraktion legitim ist.

Kästchenschlüssel verwenden eine Kästchen-Abfrage, die eine Nutzerinteraktion erfordert, um zu bestätigen, dass der Nutzer kein Roboter ist. Außerdem können Sie Kästchenschlüssel verwenden, um bestimmte Aktionen mit CAPTCHA-Abfragen zu schützen.

Funktionsweise

Mit punktzahlbasierten Schlüsseln gibt die reCAPTCHA Enterprise API eine Punktzahl zurück, mit der Sie auf Ihrer Website Aktionen ausführen können.

Sie können beispielsweise zusätzliche Authentifizierungsfaktoren anfordern, Beiträge zur Moderation senden oder Bots drosseln, die eventuell Inhalte extrahieren.

Ein Kästchenschlüssel rendert ein Kästchen Ich bin kein Roboter, das ein Nutzer anklicken muss, um zu bestätigen, dass er kein Roboter ist. Mit diesem Kästchenschlüssel können CAPTCHA-Herausforderungen verlangt werden oder auch nicht. In beiden Fällen gibt die reCAPTCHA Enterprise API eine Punktzahl zurück.

Bei CAPTCHA-Abfragen muss ein Nutzer bestimmte Arten von Objekten wie Straßenschilder aus einer Sammlung von Bildern auswählen.

Das folgende animierte GIF ist ein Beispiel für einen Kästchenschlüssel:
reCAPTCHA_visual_challenge

Die folgende Abbildung zeigt ein Beispiel für eine CAPTCHA-Abfrage:

Eine CAPTCHA-Abfrage

Bevor Sie CAPTCHA-Herausforderungen verwenden können, müssen Sie die Vorsichtsmaßnahmen für CAPTCHA-Abfragen verstehen.

Unterstützte Plattformen Websites und mobile Plattformen. Nur Websites.
Anwendungsfälle

Punktzahlbasierte Schlüssel eignen sich für folgende Anwendungsfälle:

  • Websites mit Anforderungen an die Zugänglichkeit.
  • Bei zahlungsbezogenen Transaktionen, die für bessere Conversion-Raten weniger Aufwand erfordern
  • Situationen, in denen Sie zusätzliche Funktionen wie Passwörter verwenden möchten check (Passwortlecks) oder Multi-Faktor-Authentifizierung (MFA) ein.
  • Websites, auf die über mobile Apps zugegriffen wird.
Kästchenschlüssel eignen sich für Formulare, Anmeldungen und Registrierungen auf Webseiten. Obwohl dies für Nutzer zusätzlichen Aufwand bedeutet, hilft ein zusätzlicher Schritt wie z. B. eine CAPTCHA-Abfrage dabei, ungeübte Angreifer abzuwehren.

Einschränkungen bei CAPTCHA-Herausforderungen

Wenn Sie Kästchenschlüssel mit CAPTCHA-Herausforderungen zum Schutz vor automatisierte Angriffe zu verwenden, beachten Sie die folgenden Vorbehalte:

  • CAPTCHAs erfordern eine Nutzerinteraktion, was den Aufwand erhöht und die Conversion-Rate senken kann.
  • Aufgrund der Fortschritte im maschinelles Sehen und der Maschinenintelligenz werden CAPTCHAs weniger nützlich, um zwischen Menschen und Bots zu unterscheiden.
  • CAPTCHAs werden auch von bezahlten Angreifern bedroht, die alle Arten von Herausforderungen lösen können.
  • CAPTCHAs sind nicht barrierefrei. Sie sind daher möglicherweise nicht geeignet, wenn Ihre Website Anforderungen an die Barrierefreiheit stellt.

reCAPTCHA-Schlüsseltypen für WAF auswählen

Die folgende Tabelle zeigt einen kurzen Vergleich zwischen reCAPTCHA-Aktionstoken, reCAPTCHA-Sitzungstokens reCAPTCHA-Abfrageseite und reCAPTCHA Express:

Vergleichskategorie reCAPTCHA-Aktionstokens reCAPTCHA-Sitzungstoken reCAPTCHA-Abfrageseite reCAPTCHA Express
Anwendungsfall Verwenden Sie reCAPTCHA-Aktionstokens, um Nutzeraktionen wie Anmeldung oder in den Kommentaren posten. Verwenden Sie reCAPTCHA-Sitzungstokens, um die gesamte Nutzersitzung auf der Domain der Website zu schützen. Verwenden Sie die reCAPTCHA-Herausforderung, wenn Sie vermuten, dass Spam-Aktivitäten auf Ihre Website geleitet werden und Bots herausfiltern müssen.

Diese Methode unterbricht die Aktivität eines Nutzers, da der Nutzer eine CAPTCHA-Eingabe bestätigen muss.

Verwenden Sie reCAPTCHA Express, wenn Ihre Umgebung die Einbindung von reCAPTCHA JavaScript oder den mobilen SDKs nicht unterstützt.
Unterstützte Plattformen Websites und mobile Anwendungen Websites Websites APIs, Websites, mobile Apps und IoT-Geräte wie Fernseher und Spielekonsolen
Integrationsaufwand Mittel

Führen Sie für die Einbindung folgende Schritte aus:

  • Installieren Sie den reCAPTCHA-JavaScript-Code auf den einzelnen Seiten Ihrer oder das reCAPTCHA Mobile SDK in Ihrer mobilen App installieren.
  • Hängen Sie das Aktionstoken an den einzelnen Anfrageheader an.
  • Konfigurieren Sie Google Cloud Armor-Sicherheitsrichtlinien oder reCAPTCHA-Firewallrichtlinien für WAF-Dienstanbieter von Drittanbietern.
Mittel

Führen Sie für die Einbindung folgende Schritte aus:

  • Installieren Sie das reCAPTCHA-JavaScript auf den einzelnen Seiten Ihrer Website.
  • Konfigurieren Sie Google Cloud Armor-Sicherheitsrichtlinien oder reCAPTCHA-Firewallrichtlinien für WAF-Dienstanbieter von Drittanbietern.
Niedrig

Für die Integration müssen Sie Regeln für Google Cloud Armor-Sicherheitsrichtlinien oder reCAPTCHA-Firewallrichtlinien für WAF-Dienstanbieter von Drittanbietern konfigurieren.

Niedrig

Für die Integration müssen Sie entweder reCAPTCHA Express mit einer WAF konfigurieren oder eine Anfrage von Ihrem Anwendungsserver an reCAPTCHA senden.

Erkennungsgenauigkeit Highest

Ein Aktionstoken schützt einzelne Nutzeraktionen.

Hoch

Ein Sitzungstoken schützt die gesamte Nutzersitzung auf der Domain der Website.

Mittel

Der Prozess umfasst Weiterleitungen zur reCAPTCHA-Herausforderungsseite, die möglicherweise nicht alle seitenspezifischen Signale empfängt. Daher ist die Bot-Erkennung möglicherweise weniger genau.

Niedrig

Clientseitige Signale sind nicht verfügbar.

Unterstützte reCAPTCHA-Version Punktebasierte und Kästchenschlüssel für reCAPTCHA Punktebasierte reCAPTCHA-Schlüssel Die reCAPTCHA-Herausforderungsseite verwendet die optimierte Version von reCAPTCHA, um die Integration zu minimieren. Punktebasierte reCAPTCHA-Schlüssel

Sie können eine oder mehrere Funktionen von reCAPTCHA for WAF in einer einzelnen Anwendung verwenden. Sie können beispielsweise ein Sitzungs-Token auf alle Seiten anwenden. Basierend auf der Punktzahl des Sitzungs-Tokens können Sie verdächtige Anfragen an die reCAPTCHA-Problemseite weiterleiten. Sie können auch ein Aktionstoken für wichtige Aktionen wie die Kasse verwenden. Weitere Informationen finden Sie in den Beispielen.

Nächste Schritte