Les clés reCAPTCHA (également appelées clés) vous permettent de protéger vos points de terminaison en vérifiant les interactions des utilisateurs sur vos pages Web et vos applications mobiles.
Pour choisir le type de clé reCAPTCHA approprié, vous devez comprendre les types de clés compatibles avec chaque plate-forme et leurs différences.
Types de clés reCAPTCHA
Le tableau suivant répertorie les clés reCAPTCHA compatibles avec chaque plate-forme:
| Types de clés reCAPTCHA | Description | Clés compatibles | Type d'intégration clé |
|---|---|---|---|
| Clés reCAPTCHA pour le Web | Clés permettant d'intégrer reCAPTCHA sur les pages Web. | Clés basées sur des scores | SCORE |
| Touches de case à cocher | CHECKBOX |
||
| Clés reCAPTCHA pour les applications mobiles | Clés permettant d'intégrer reCAPTCHA dans les applications Android et iOS. | Clés reCAPTCHA pour Android | SCORE |
| Clés reCAPTCHA pour iOS | SCORE |
||
| Clés reCAPTCHA pour le WAF | Clés permettant d'intégrer reCAPTCHA au niveau de la couche WAF. | clés de jeton d'action | SCORE et CHECKBOX |
| clés de jeton de session | SCORE |
||
| clés de page de défi | INVISIBLE |
||
| touches express | SCORE |
Choisir un type de clé reCAPTCHA pour le Web
Pour les sites Web, reCAPTCHA fournit des clés de site basées sur des scores (sans test) et des cases à cocher (test visuel avec case à cocher) pour vérifier les interactions des utilisateurs. Les deux types de clés renvoient un score pour chaque requête, qui est basé sur les interactions avec votre site. Ce score vous permet de comprendre le niveau de risque lié à l'interaction et vous aide à prendre les mesures appropriées pour votre site.
Le tableau suivant résume les différences entre les clés basées sur des scores et les clés de case à cocher, et vous aide à choisir la clé appropriée en fonction de vos cas d'utilisation:
| Catégorie de comparaison | Clé basée sur des scores (recommandé) | Clé de case à cocher |
|---|---|---|
| Description | Les clés basées sur des scores vous permettent de vérifier si une interaction est légitime sans aucune interaction de l'utilisateur. | Les clés de case à cocher utilisent une vérification avec case à cocher nécessitant une interaction de l'utilisateur pour vérifier qu'il n'est pas un robot. Vous pouvez également utiliser des clés de case à cocher pour protéger des actions spécifiques avec des tests CAPTCHA. |
| Fonctionnement | Avec les clés basées sur des scores, l'API reCAPTCHA Enterprise renvoie un score que vous pouvez utiliser pour prendre des mesures dans le contexte de votre site. Vous pouvez, par exemple, exiger des facteurs d'authentification supplémentaires, envoyer un post à la modération ou limiter les robots susceptibles de détourner du contenu. |
Une clé de site de case à cocher affiche la case Je ne suis pas un robot sur laquelle un utilisateur doit cliquer pour confirmer qu'il n'est pas un robot. Cette clé de case à cocher peut ou non soumettre les utilisateurs à des tests CAPTCHA. Dans les deux cas, l'API reCAPTCHA Enterprise renvoie un score. Les tests CAPTCHA nécessitent que l'utilisateur sélectionne certains types d'objets, tels que des plaques de rue, dans une collection d'images. Voici un GIF animé montrant un exemple de clé de case à cocher: L'image suivante montre un exemple de test CAPTCHA: 
Avant d'utiliser des tests CAPTCHA, vous devez comprendre les mises en garde concernant les tests CAPTCHA. |
| Plates-formes compatibles | Sites Web et plates-formes mobiles | Sites Web uniquement. |
| Cas d'utilisation |
Les clés basées sur des scores sont adaptées aux cas d'utilisation suivants:
|
Les clés de case à cocher sont adaptées aux formulaires, aux connexions et aux inscriptions sur les pages Web. Même si cela peut causer des frictions supplémentaires pour les utilisateurs, une étape supplémentaire comme un test CAPTCHA permet de dissuader les pirates informatiques moins sophistiqués. |
Mises en garde concernant les tests CAPTCHA
Si vous souhaitez utiliser des clés de case à cocher comportant des tests CAPTCHA pour vous protéger contre les attaques automatiques, tenez compte des mises en garde suivantes:
- Les CAPTCHA nécessitent l'intervention de l'utilisateur, ce qui augmente les frictions et peut diminuer les taux de conversion.
- En raison des progrès de la vision par ordinateur et de l'intelligence artificielle, les CAPTCHA sont de moins en moins utiles pour distinguer les humains des robots.
- Les CAPTCHA sont également menacés par les pirates informatiques capables de résoudre tous les types de tests.
- Les CAPTCHA ne sont pas accessibles à tous les utilisateurs. Ils peuvent donc ne pas être adaptés si votre site Web présente des exigences d'accessibilité.
Choisir des types de clés reCAPTCHA pour le WAF
Le tableau suivant présente une brève comparaison entre les jetons d'action reCAPTCHA, les jetons de session reCAPTCHA, la page de test reCAPTCHA et reCAPTCHA Express:
| Catégorie de comparaison | Jetons d'action reCAPTCHA | Jetons de session reCAPTCHA | Page de test reCAPTCHA | reCAPTCHA Express |
|---|---|---|---|---|
| Cas d'utilisation | Utilisez les jetons d'action reCAPTCHA pour protéger les actions des utilisateurs, telles que la connexion ou les commentaires. | Utilisez les jetons de session reCAPTCHA pour protéger l'intégralité de la session utilisateur sur le domaine du site. | Utilisez la page d'authentification reCAPTCHA lorsque vous suspectez des activités de spam dirigées vers votre site et que vous devez exclure les bots.
Cette méthode interrompt l'activité de l'utilisateur, car il doit effectuer un test CAPTCHA. |
Utilisez reCAPTCHA Express lorsque votre environnement n'est pas compatible avec l'intégration du code JavaScript reCAPTCHA ni des SDK pour mobile. |
| Plates-formes compatibles | Sites Web et applications mobiles | Sites Web | Sites Web | API, sites Web, applications mobiles et appareils IoT tels que les téléviseurs et les consoles de jeu |
| Effort d'intégration | Moyen
L'intégration nécessite d'effectuer les opérations suivantes :
|
Moyen
L'intégration nécessite d'effectuer les opérations suivantes :
|
Faible
L'intégration nécessite de configurer des règles de stratégie de sécurité pour Google Cloud Armor ou des règles de pare-feu reCAPTCHA pour les fournisseurs de services WAF tiers. |
Faible
Pour l'intégration, vous devez configurer reCAPTCHA Express avec un fournisseur de services WAF ou envoyer une requête de votre serveur d'application à reCAPTCHA. |
| Précision de la détection | Le plus élevé
Un jeton d'action protège les actions individuelles des utilisateurs. |
Élevé
Un jeton de session protège l'intégralité de la session utilisateur sur le domaine du site. |
Moyen
Le processus implique des redirections vers la page d'authentification reCAPTCHA, qui peut ne pas recevoir tous les signaux spécifiques à la page. Par conséquent, la détection des bots peut être moins précise. |
Faible
Les signaux côté client ne sont pas disponibles. |
| Version de reCAPTCHA compatible | Clés reCAPTCHA basées sur des scores et cases à cocher | Clés reCAPTCHA basées sur des scores | La page de test reCAPTCHA utilise la version optimisée de reCAPTCHA pour minimiser l'intégration. | Clés reCAPTCHA basées sur des scores |
Vous pouvez utiliser une ou plusieurs fonctionnalités de reCAPTCHA pour WAF dans une seule application. Par exemple, vous pouvez choisir d'appliquer un jeton de session pour toutes les pages et, en fonction du score du jeton de session, rediriger les requêtes suspectes vers la page de test reCAPTCHA. Vous pouvez également utiliser un jeton d'action pour les actions importantes, telles que le règlement. Pour en savoir plus, consultez les exemples.
Étape suivante
- Créez des clés reCAPTCHA pour des sites Web.
- Créez des clés reCAPTCHA pour les applications mobiles.
- En savoir plus sur les clés reCAPTCHA pour WAF