As chaves reCAPTCHA (também conhecidas como chaves) permitem-lhe proteger os seus pontos finais validando as interações dos utilizadores nas suas páginas Web e aplicações para dispositivos móveis.
Para escolher o tipo de chave do reCAPTCHA adequado, tem de compreender os tipos de chaves suportados para cada plataforma e as respetivas diferenças.
Tipos de chaves reCAPTCHA
A tabela seguinte apresenta as chaves do reCAPTCHA suportadas para cada plataforma:
| Plataforma | Descrição | Chaves suportadas | Tipo de desafio |
|---|---|---|---|
| Web | Para integração em páginas Web. | Chaves baseadas em pontuação | SCORE |
| Teclas de caixa de verificação | CHECKBOX |
||
| Chaves de desafio baseadas em políticas (pré-visualização) | POLICY_BASED_CHALLENGE |
||
| telemóvel | Para integração com apps Android e iOS. | Chaves reCAPTCHA para Android | SCORE |
| Chaves reCAPTCHA para iOS | SCORE |
||
| WAF | Para páginas Web e APIs publicadas através de servidores de computação de extremidade ou WAF. | chaves de token de ação | SCORE e CHECKBOX |
| Chaves de token de sessão | SCORE |
||
| chaves da página de desafio | INVISIBLE |
||
| API | Para integração com APIs ou clientes, como dispositivos de IoT, que não suportam o JavaScript reCAPTCHA nem os SDKs para dispositivos móveis. | teclas expressas | SCORE |
Escolha um tipo de chave reCAPTCHA para a Web
Para validar as interações dos utilizadores em Websites, o reCAPTCHA fornece chaves baseadas em pontuação, que não acionam desafios CAPTCHA, chaves de caixa de verificação, que acionam desafios CAPTCHA não determinísticos, e chaves de desafio baseadas em políticas, que acionam desafios CAPTCHA determinísticos.
Todos os tipos de chaves devolvem uma pontuação para cada pedido, que se baseia nas interações dos utilizadores com o seu site. Esta pontuação permite-lhe compreender o nível de risco que a interação representa e ajuda a tomar ações adequadas para o seu site.
A tabela seguinte resume as diferenças entre as chaves baseadas em pontuação, as chaves de caixa de verificação e as chaves de desafio baseadas em políticas:
| Categoria de comparação | Chave baseada em pontuação (recomendado) | Chave da caixa de verificação | Chave de desafio baseada em políticas (pré-visualização) |
|---|---|---|---|
| Descrição | As chaves baseadas em pontuação permitem-lhe verificar se uma interação é legítima sem qualquer interação do utilizador. | As chaves de caixa de verificação usam um desafio de caixa de verificação que requer a interação do utilizador para verificar que o utilizador não é um robô. Além disso, pode usar as teclas de caixa de verificação para proteger ações específicas com desafios CAPTCHA. |
As chaves de desafio baseadas em políticas acionam desafios CAPTCHA com base no limite de pontuação configurado. Pode usar chaves de desafio baseadas em políticas para proteger ações específicas através de desafios CAPTCHA. |
| Como funciona | Com as chaves baseadas em pontuação, a API reCAPTCHA Enterprise devolve uma pontuação que pode usar para tomar medidas no contexto do seu site. Alguns exemplos de ações que pode tomar incluem: exigir fatores de autenticação adicionais, enviar uma publicação para moderação ou limitar bots que possam estar a extrair conteúdo. |
Uma chave de caixa de verificação renderiza uma caixa de verificação Não sou um robô na qual um utilizador tem de clicar para verificar que não é um robô. Esta chave de caixa de verificação pode ou não desafiar os utilizadores com desafios CAPTCHA. Em ambos os casos, a API reCAPTCHA Enterprise devolve uma pontuação. Os desafios CAPTCHA exigem que um utilizador selecione determinados tipos de objetos, como sinais de trânsito, a partir de uma coleção de imagens. O GIF animado seguinte é um exemplo de uma chave de caixa de verificação: A imagem seguinte mostra um exemplo de um desafio CAPTCHA: 
Antes de usar desafios CAPTCHA, tem de compreender as restrições dos desafios CAPTCHA. |
Com as chaves de desafio baseadas em políticas, os desafios CAPTCHA são acionados se a pontuação inicial calculada pelo reCAPTCHA for inferior ao limite de pontuação configurado. As chaves de desafio baseadas em políticas diferem das chaves de caixa de verificação porque podem acionar desafios CAPTCHA de forma determinística. Os desafios CAPTCHA exigem que um utilizador selecione determinados tipos de objetos, como sinais de trânsito, a partir de uma coleção de imagens. A imagem seguinte mostra um exemplo de um desafio CAPTCHA:
Antes de usar desafios CAPTCHA, tem de compreender as restrições dos desafios CAPTCHA. |
| Plataformas suportadas | Websites e plataformas para dispositivos móveis. | Apenas Websites. | Apenas Websites. |
| Exemplos de utilização |
As chaves baseadas em pontuações são adequadas para os seguintes exemplos de utilização:
|
As teclas de caixa de verificação são adequadas para formulários, inícios de sessão e inscrições em páginas Web. Embora possa causar atrito adicional para os utilizadores, um passo adicional, como um desafio CAPTCHA, ajuda a dissuadir atacantes pouco sofisticados. | As chaves de desafio baseadas em políticas são adequadas para formulários, inícios de sessão e inscrições em páginas Web. Embora possa causar atrito adicional para os utilizadores, um passo adicional, como um desafio CAPTCHA, ajuda a dissuadir atacantes pouco sofisticados. |
Advertências com desafios CAPTCHA
Se quiser usar chaves de caixa de verificação com desafios CAPTCHA para se proteger contra ataques automatizados, tenha em atenção as seguintes ressalvas:
- Os CAPTCHAs requerem a interação do utilizador, o que aumenta o atrito e pode diminuir as taxas de conversão.
- Devido aos avanços na visão computacional e na inteligência artificial, os CAPTCHAs estão a tornar-se menos úteis para distinguir entre humanos e bots.
- Os CAPTCHAs também estão sob ameaça de atacantes pagos que podem resolver todos os tipos de desafios.
- Os CAPTCHAs não são acessíveis para todos os utilizadores, pelo que podem não ser adequados se o seu Website tiver requisitos de acessibilidade.
Escolha os tipos de chaves reCAPTCHA para o WAF
O reCAPTCHA para integrações do Google Cloud Armor suporta tokens de ação, tokens de sessão, página de desafio e reCAPTCHA express
Pode usar uma ou mais funcionalidades do reCAPTCHA for Google Cloud Armor numa única aplicação. Por exemplo, pode optar por aplicar um token de sessão a todas as páginas e, com base na pontuação do token de sessão, pode redirecionar pedidos suspeitos para a página de desafio do reCAPTCHA. Além disso, pode usar um token de ação para ações de perfil elevado, como o pagamento. Para mais informações, consulte exemplos.
A tabela seguinte mostra uma breve comparação das funcionalidades do reCAPTCHA para o Google Cloud Armor disponíveis:
| Categoria de comparação | Tokens de ação do reCAPTCHA | Tokens de sessão do reCAPTCHA | Página de desafio reCAPTCHA | reCAPTCHA express |
|---|---|---|---|---|
| Exemplo de utilização | Use para proteger ações do utilizador, como iniciar sessão ou publicar comentários. | Use para proteger toda a sessão do utilizador no domínio do site. | Use quando suspeitar de atividade de spam direcionada para o seu site e precisar de filtrar bots.
Este método interrompe a atividade de um utilizador porque este tem de validar um desafio CAPTCHA. |
Use o reCAPTCHA express quando o seu ambiente não suportar a integração do JavaScript do reCAPTCHA ou dos SDKs para dispositivos móveis. |
| Plataformas suportadas | Websites e apps para dispositivos móveis | Websites | Websites | Todos os pedidos HTTP. Incluindo: APIs, Websites, aplicações para dispositivos móveis e dispositivos de IoT, como TVs e consolas de jogos |
| Esforço de integração do cliente | Médio
Integração manual do lado do cliente. |
Médio
Instale o JavaScript do reCAPTCHA manualmente ou através da injeção no WAF. |
Baixo
Anúncio intercalar acionado por políticas de segurança. |
Baixo
Sem integração do cliente. |
| Precisão da deteção | Mais elevado
Estão disponíveis sinais específicos do cliente, do servidor e da ação. |
Elevado
Estão disponíveis sinais específicos do cliente e do servidor. |
Médio
Estão disponíveis sinais específicos do cliente e do servidor. Os sinais do cliente só estão disponíveis numa página intersticial. |
Baixo
Apenas estão disponíveis sinais do lado do servidor. |
| Versão do reCAPTCHA suportada | Chaves baseadas em pontuação e de caixa de verificação do reCAPTCHA | Chaves baseadas em pontuação do reCAPTCHA | Chaves baseadas em desafios do reCAPTCHA incorporadas numa página intersticial | Chaves expressas do reCAPTCHA |
Escolha chaves do reCAPTCHA express para APIs
Use o reCAPTCHA express quando o seu ambiente não suportar uma integração do cliente do reCAPTCHA, como a API JavaScript ou os SDKs para dispositivos móveis. O reCAPTCHA express é adequado para APIs, Websites, aplicações para dispositivos móveis e dispositivos IoT, como TVs e consolas de jogos, mas também pode ser usado para proteger Websites ou aplicações para dispositivos móveis quando uma integração do lado do cliente é inviável.
Uma vez que o reCAPTCHA express é uma integração apenas do lado do servidor, não tem recolha de sinais do lado do cliente. Normalmente, isto resulta numa precisão de deteção inferior à das integrações que envolvem um componente do lado do cliente.
O que se segue?
- Crie chaves reCAPTCHA para Websites.
- Crie chaves reCAPTCHA para aplicações para dispositivos móveis.
- Saiba mais acerca das chaves reCAPTCHA para WAF.
- Saiba mais sobre as chaves expresso do reCAPTCHA para APIs.