Escolher o tipo de chave reCAPTCHA adequado

As chaves reCAPTCHA (também conhecidas como chaves) permitem proteger os endpoints verificando as interações dos usuários nas páginas da Web e nos apps para dispositivos móveis.

Para escolher o tipo de chave reCAPTCHA adequado, você precisa entender os tipos de chaves compatíveis com cada plataforma e as diferenças entre elas.

Tipos de chaves reCAPTCHA

A tabela a seguir lista as chaves reCAPTCHA compatíveis com cada plataforma:

Tipos de chaves reCAPTCHA Descrição Chaves compatíveis Principal tipo de integração
Chaves reCAPTCHA para a Web Chaves para integrar o reCAPTCHA a páginas da Web. Chaves baseadas em pontuação SCORE
Chaves de caixa de seleção CHECKBOX
Chaves reCAPTCHA para aplicativos para dispositivos móveis Chaves para integrar o reCAPTCHA a apps Android e iOS. Chaves reCAPTCHA para Android SCORE
Chaves reCAPTCHA para iOS SCORE
Chaves reCAPTCHA para WAF Chaves para integrar o reCAPTCHA na camada do WAF. chaves de token de ação SCORE e CHECKBOX
chaves de token de sessão SCORE
chaves de página de desafio INVISIBLE
teclas de acesso rápido SCORE

Escolher um tipo de chave reCAPTCHA para a Web

Para sites, o reCAPTCHA oferece chaves de pontuação (sem teste) e caixa de seleção (teste visual de caixa de seleção) para verificar as interações do usuário. Os dois tipos de chave retornam uma pontuação para cada solicitação, que é baseada nas interações com seu site. Essa pontuação representa o nível de risco da interação e ajuda a tomar as ações apropriadas para seu site.

A tabela a seguir resume as diferenças entre as chaves de pontuação e de caixa de seleção. Ela também ajuda a escolher a chave apropriada de acordo com seus casos de uso:

Categoria de comparação Chave baseada em pontuação (recomendado) Chave de caixa de seleção
Descrição As chaves com base em pontuação permitem verificar se uma interação é legítima sem qualquer interação do usuário.

As chaves de caixa de seleção usam um teste que exige interação do usuário para verificar se o usuário não é um robô. Além disso, é possível usar chaves de caixa de seleção para proteger ações específicas com testes de CAPTCHA.
Como funciona

Com as chaves de pontuação, a API reCAPTCHA Enterprise retorna uma pontuação, que pode ser usada para executar ações no contexto do site.

Exemplos de ações incluem exigir mais fatores de autenticação, enviar uma postagem para a moderação ou limitar bots que podem estar extraindo conteúdo.

Uma chave de caixa de seleção renderiza uma caixa de seleção Não sou um robô em que o usuário precisa clicar para confirmar que não é um robô. Ela pode exibir um teste de CAPTCHA ou não. Nos dois casos, a API reCAPTCHA Enterprise retorna uma pontuação.

Os testes de CAPTCHA exigem que o usuário selecione determinados tipos de objeto, como placas de rua, em meio a uma coleção de imagens.

O GIF animado a seguir é um exemplo de chave de caixa de seleção:
reCAPTCHA_visual_challenge

A imagem a seguir mostra um exemplo de teste de CAPTCHA:

Um exemplo de teste de CAPTCHA

Antes de usar os testes de CAPTCHA, é necessário entender as ressalvas dos testes de CAPTCHA.
Plataformas compatíveis Sites e plataformas para dispositivos móveis. Somente sites.
Casos de uso

As chaves baseadas em pontuação são adequadas para os seguintes casos de uso:

  • Sites com requisitos de acessibilidade.
  • Para transações relacionadas a pagamentos que preferem menos atritos para gerar taxas de conversão melhores.
  • Situações em que você quer usar mais recursos, como verificação de senha (detecção de vazamento de senha) ou autenticação multifator (MFA).
  • Sites acessados por aplicativos para dispositivos móveis.
As chaves de caixa de seleção são apropriadas para formulários, logins e inscrições em páginas da Web. Embora isso possa causar mais atrito para os usuários, como a etapa extra do teste de CAPTCHA, isso ajuda a impedir ataques pouco sofisticados.

Ressalvas com os testes de CAPTCHA

Se você quiser usar chaves de caixa de seleção com testes de CAPTCHA para se proteger contra ataques automatizados, esteja ciente das seguintes ressalvas:

  • Os CAPTCHAs exigem interação do usuário, o que aumenta o atrito e pode diminuir as taxas de conversão.
  • Devido aos avanços na visão computacional e na inteligência das máquinas, os CAPTCHAs estão se tornando cada vez menos úteis para distinguir entre humanos e bots.
  • Os CAPTCHAs também estão ameaçados por invasores pagos que podem solucionar todos os tipos de teste.
  • Os CAPTCHAs não são acessíveis para todos os usuários. Por isso, eles podem não ser adequados se o site tiver requisitos de acessibilidade.

Escolher tipos de chaves reCAPTCHA para o WAF

A tabela a seguir mostra uma breve comparação dos tokens de ação, dos tokens de sessão, da página de teste e do reCAPTCHA Express:

Categoria de comparação Tokens de ação reCAPTCHA Tokens de sessão reCAPTCHA Página de teste do reCAPTCHA reCAPTCHA expresso
Caso de uso Use tokens de ação reCAPTCHA para proteger as ações do usuário, como login ou postagens de comentários. Use tokens de sessão reCAPTCHA para proteger toda a sessão de usuário no domínio do site. Use a página de teste do reCAPTCHA quando você suspeitar que há atividades de spam direcionadas ao site e precisar filtrar bots.

Esse método interrompe a atividade do usuário porque ele precisa verificar um teste de CAPTCHA.

 Use o reCAPTCHA Express quando o ambiente não oferecer suporte à integração do JavaScript do reCAPTCHA ou dos SDKs para dispositivos móveis.
Plataformas compatíveis Sites e apps para dispositivos móveis Sites Sites APIs, sites, aplicativos para dispositivos móveis e dispositivos IoT, como TVs e consoles de jogos
Esforço de integração Média

A integração requer o seguinte:

  • Instale o reCAPTCHA JavaScript nas páginas individuais do seu site ou instale o SDK reCAPTCHA para dispositivos móveis no seu aplicativo.
  • Anexe o token de ação ao cabeçalho da solicitação individual.
  • Configure as regras da política de segurança do Google Cloud Armor ou as políticas de firewall do reCAPTCHA para provedores de serviços de WAF de terceiros.
 Média

A integração requer o seguinte:

  • Instale o reCAPTCHA JavaScript nas páginas individuais do seu site.
  • Configure as regras da política de segurança do Google Cloud Armor ou as políticas de firewall do reCAPTCHA para provedores de serviços de WAF de terceiros.
 Baixa

A integração requer que você configure regras de política de segurança do Google Cloud Armor ou políticas de firewall do reCAPTCHA para provedores de serviços de WAF de terceiros.

Baixa

Para fazer a integração, você precisa configurar o reCAPTCHA Express com um provedor de serviços do WAF ou fazer uma solicitação do servidor do aplicativo para o reCAPTCHA.

Precisão da detecção Maior

Um token de ação protege ações individuais do usuário.

 Alta

Um token de sessão protege toda a sessão do usuário no domínio do site.

 Média

O processo envolve redirecionamentos para a página de teste do reCAPTCHA, que pode não receber todos os sinais específicos da página. Como resultado, a detecção de bots pode ser menos precisa.

 Baixa

Os indicadores do lado do cliente não estão disponíveis.

Versão compatível do reCAPTCHA Chaves de pontuação e de caixa de seleção reCAPTCHA Chaves reCAPTCHA baseadas em pontuação A página de teste do reCAPTCHA usa a versão otimizada do reCAPTCHA para minimizar a integração. Chaves reCAPTCHA baseadas em pontuação

É possível usar um ou mais recursos do reCAPTCHA para WAF em um único aplicativo. Por exemplo, é possível aplicar um token de sessão a todas as páginas e, com base na pontuação do token de sessão, redirecionar solicitações suspeitas para a página de teste do reCAPTCHA. Além disso, é possível usar um token de ação para ações importantes, como a finalização de compra. Para mais informações, consulte os exemplos.

A seguir