reCAPTCHA-Schlüssel für Websites erstellen

Auf dieser Seite wird erläutert, wie Sie reCAPTCHA-Schlüssel (auch Schlüssel genannt) erstellen, um Nutzerinteraktionen auf Ihren Webseiten zu prüfen.

reCAPTCHA-Schlüssel geben an, wie reCAPTCHA für eine Website konfiguriert ist. Die Konfiguration enthält wichtige Optionen, z. B. ob CAPTCHA-Herausforderungen angezeigt werden sollen.

Hinweise

reCAPTCHA-Schlüssel erstellen

Die Anzahl der reCAPTCHA-Schlüssel, die Sie für ein Google Cloud-Projekt erstellen können, ist nicht begrenzt. Es ist am besten, einen reCAPTCHA-Schlüssel pro Website zu erstellen.

Wir empfehlen, separate reCAPTCHA-Schlüssel für Staging- und Produktionsumgebungen zu erstellen. Andernfalls riskieren Sie, dass die reCAPTCHA-Risikoanalyse mit Daten aus der Testumgebung fehlschlägt.

Am einfachsten erstellen Sie einen reCAPTCHA-Schlüssel über die reCAPTCHA-Admin-Konsole. Alternativ können Sie die Google Cloud Console, die reCAPTCHA Enterprise API oder die Google Cloud CLI verwenden.

Admin-Konsole

  1. Rufen Sie die reCAPTCHA-Admin-Konsole auf.

    ReCAPTCHA-Admin-Konsole aufrufen

  2. Geben Sie im Feld Label einen Namen ein, mit dem Sie Ihre Website identifizieren können.
  3. Wenn Sie einen punktebasierten Schlüssel erstellen möchten, wählen Sie Punktebasiert (v3) aus. Wenn Sie einen Kästchenschlüssel erstellen möchten, wählen Sie Aufgabe (v2) aus.
  4. Wenn Sie eine Domain hinzufügen möchten, geben Sie den Domainnamen ein und klicken Sie auf .

    Wenn Sie eine weitere Domain hinzufügen möchten, können Sie diesen Schritt wiederholen. Sie können bis zu 250 Domains hinzufügen.

  5. Wenn Sie die Google Cloud Console noch nicht kennen, lesen Sie die Nutzungsbedingungen und klicken Sie das Kästchen an.
  6. Klicken Sie auf Senden.

Wenn Sie die Google Cloud Console noch nicht kennen, wird ein Google Cloud-Projekt erstellt und die erforderlichen APIs werden aktiviert, damit Sie loslegen können. Wenn Sie bereits ein Google Cloud-Projekt haben, sind die erforderlichen APIs für Ihr Projekt bereits aktiviert.

Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite reCAPTCHA auf.

    Zu reCAPTCHA

  2. Prüfen Sie, ob der Name Ihres Projekts in der Ressourcenauswahl oben auf der Seite angezeigt wird.

    Wenn Sie den Namen Ihres Projekts nicht sehen, klicken Sie auf die Ressourcenauswahl und wählen Sie Ihr Projekt aus.

  3. Klicken Sie auf Schlüssel erstellen.
  4. Geben Sie im Feld Anzeigename einen Anzeigenamen für den Schlüssel ein.
  5. Wählen Sie im Menü Plattformtyp auswählen die Option Website aus.

    Der Abschnitt Domainliste wird angezeigt.

  6. Geben Sie den Domainnamen für Ihre Website ein:

    1. Klicken Sie im Abschnitt Domainliste auf Domain hinzufügen.
    2. Geben Sie im Feld Domain den Namen Ihrer Domain ein.

    3. Optional: Klicken Sie zum Hinzufügen einer zusätzlichen Domain auf Domain hinzufügen und geben Sie den Namen einer anderen Domain in das Feld Domain ein. Sie können bis zu 250 Domains hinzufügen.

      Bei Websites gilt der reCAPTCHA-Schlüssel nur für die von Ihnen angegebenen Domains und Subdomains. Sie können mehrere Domains angeben, wenn Sie Ihre Website von mehreren Domains bereitstellen. Wenn Sie eine Domain angeben (z. B. examplepetstore.com), müssen Sie ihre Subdomains nicht angeben (z. B. subdomain.examplepetstore.com).

      Wenn Sie einen Schlüssel für mehr als 250 Domains verwenden möchten, klicken Sie auf die Ein/Aus-Schaltfläche Domainbestätigung deaktivieren. reCAPTCHA ignoriert dann die Domainliste. Sie müssen die Domainbestätigung selbst durchführen, indem Sie das Feld tokenProperties.hostname in den von Ihnen erstellten Bewertungen prüfen.

  7. Führen Sie je nach Typ des reCAPTCHA-Schlüssels, den Sie für Ihre Website erstellen möchten, die entsprechenden Aktionen aus:

    8. Punktbasierte reCAPTCHA-Schlüssel erstellen

    1. Optional: Wenn Sie die Domainbestätigung deaktivieren oder AMP-Seiten zulassen möchten, maximieren Sie den Bereich Web Application Firewall (WAF), Domainbestätigung, AMP-Seiten und Herausforderung.
      1. Zum Schutz des reCAPTCHA-Schlüssels für Ihre Domain und Subdomains müssen Sie die Ein/Aus-Schaltfläche Domainbestätigung deaktivieren deaktivieren.

        Die Deaktivierung der Domainbestätigung ist ein Sicherheitsrisiko, da es keine Einschränkungen für die Website gibt. Ihr reCAPTCHA-Schlüssel kann also von jedem abgerufen und verwendet werden.

      2. Wenn Sie möchten, dass der punktebasierte Schlüssel mit beschleunigten mobilen Seiten (AMP) funktioniert, aktivieren Sie die Option Mit diesem Schlüssel zulassen, damit er mit AMP-Seiten funktioniert.

      3. Wenn Sie für Ihre Nicht-Produktionsumgebung einen Wert für die Punktzahl angeben möchten, die der Schlüssel zurückgeben soll, wenn Bewertungen dafür erstellt werden, gehen Sie so vor:

        1. Klicken Sie auf die Ein/Aus-Schaltfläche Dies ist ein Testschlüssel.
        2. Geben Sie im Feld Wert eine Punktzahl zwischen 0 und 1.0 an.
      4. Klicken Sie auf Schlüssel erstellen.

      Der neu erstellte Schlüssel wird auf der Seite reCAPTCHA-Schlüssel aufgeführt.

    reCAPTCHA-Schlüssel für Kästchen erstellen

    1. Maximieren Sie den Abschnitt Web Application Firewall (WAF), Domainbestätigung, AMP-Seiten und Herausforderung.
    2. Zum Schutz des reCAPTCHA-Schlüssels für Ihre Domain und Subdomains müssen Sie die Ein/Aus-Schaltfläche Domainbestätigung deaktivieren deaktivieren.

      Das Deaktivieren der Domainbestätigung ist ein Sicherheitsrisiko, da es keine Einschränkungen für die Website gibt. Ihr reCAPTCHA-Schlüssel kann also von jedem abgerufen und verwendet werden.

    3. Aktivieren Sie die Ein/Aus-Schaltfläche Kästchen Identitätsbestätigung verwenden.
    4. Wählen Sie die entsprechende Option für die Bestätigungssicherheit aus.

      Die Sicherheitsoption für die Identitätsbestätigung steuert die Wahrscheinlichkeit, mit der ein Nutzer zur Eingabe einer sekundären Identitätsbestätigung aufgefordert wird. Dabei werden Nutzer aufgefordert, Bilder basierend auf einer identifizierten Kategorie auszuwählen, z. B. die Bilder mit einem Motorrad oder Straßenspiegel.

      Wenn Sie einen optimalen Schutz vor Betrug gewährleisten möchten, wählen Sie Schwerere Schwierigkeit (höhere Sicherheit gegen Bots) aus.

      Wenn Sie Geringste Schwierigkeit auswählen, ist es weniger wahrscheinlich, dass die Nutzer zur visuellen Herausforderung aufgefordert werden.

    5. Wenn Sie für Ihre Nicht-Produktionsumgebung einen Wert für die Punktzahl angeben möchten, die der Schlüssel zurückgeben soll, wenn Bewertungen dafür erstellt werden, gehen Sie so vor:

      1. Klicken Sie auf die Ein/Aus-Schaltfläche Dies ist ein Testschlüssel.
      2. Geben Sie im Feld Wert eine Punktzahl zwischen 0 und 1.0 an.
      3. Wählen Sie die entsprechende Option für den Bestätigungstyp aus.
        • Auto stellt manchmal eine Herausforderung dar.
        • Bei Kein CAPTCHA wird keine CAPTCHA-Herausforderung angezeigt.
        • Bei der Unlösbaren Aufgabe werden die Bilder angezeigt, die Aufgabe wird jedoch nicht bestanden.
      4. Klicken Sie auf Schlüssel erstellen.

      Der neu erstellte Schlüssel wird auf der Seite reCAPTCHA-Schlüssel aufgeführt.

gcloud

Verwenden Sie den Befehl gcloud recaptcha keys create, um reCAPTCHA-Schlüssel zu erstellen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • DISPLAY_NAME: Name für den Schlüssel. In der Regel ein Websitename.
  • INTEGRATION_TYPE: Integrationstyp. Geben Sie je nach Schlüsseltyp die folgenden Werte an:
    • score für punktebasierte Schlüssel.
    • checkbox für Kästchenschlüssel.
  • DOMAIN_NAME: Domains oder Subdomains von Websites, die den Schlüssel verwenden dürfen.

    Geben Sie mehrere Domains als durch Kommas getrennte Liste an.

    Wenn Sie einen Schlüssel für mehr als 250 Domains verwenden möchten, geben Sie --allow-all-domains an, um die Domainbestätigung zu deaktivieren. reCAPTCHA ignoriert dann die Domainliste. Sie müssen die Domainbestätigung selbst durchführen, indem Sie das Feld tokenProperties.hostname in den von Ihnen erstellten Bewertungen prüfen.

    Das Deaktivieren der Domainbestätigung ist ein Sicherheitsrisiko, da es keine Einschränkungen für die Website gibt. Ihr reCAPTCHA-Schlüssel kann also von jedem abgerufen und verwendet werden.

Führen Sie den Befehl gcloud recaptcha keys create aus:

Linux, macOS oder Cloud Shell

gcloud recaptcha keys create \
        --web \
        --display-name=DISPLAY_NAME  \
        --integration-type=INTEGRATION_TYPE \
        --domains=DOMAIN_NAME

Windows (PowerShell)

gcloud recaptcha keys create `
        --web `
        --display-name=DISPLAY_NAME  `
        --integration-type=INTEGRATION_TYPE `
        --domains=DOMAIN_NAME

Windows (cmd.exe)

gcloud recaptcha keys create ^
        --web ^
        --display-name=DISPLAY_NAME  ^
        --integration-type=INTEGRATION_TYPE ^
        --domains=DOMAIN_NAME

Die Antwort enthält den neu erstellten reCAPTCHA-Schlüssel.

REST

API-Referenzinformationen zu Schlüsseltypen und Integrationstypen finden Sie unter Schlüssel und Integrationstyp.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • DISPLAY_NAME: Name für den Schlüssel. In der Regel ein Websitename.
  • INTEGRATION_TYPE: Integrationstyp. Geben Sie je nach Schlüsseltyp die folgenden Werte an:
    • score für punktebasierte Schlüssel.
    • checkbox für Kästchenschlüssel.
  • DOMAIN_NAME: Domains oder Subdomains von Websites, die den Schlüssel verwenden dürfen.

    Geben Sie mehrere Domains als durch Kommas getrennte Liste an.

    Wenn Sie einen Schlüssel für mehr als 250 Domains verwenden möchten, geben Sie --allow-all-domains an, um die Domainbestätigung zu deaktivieren. reCAPTCHA ignoriert dann die Domainliste. Sie müssen die Domainbestätigung selbst durchführen, indem Sie das Feld tokenProperties.hostname in den von Ihnen erstellten Bewertungen prüfen.

    Das Deaktivieren der Domainbestätigung ist ein Sicherheitsrisiko, da es keine Einschränkungen für die Website gibt. Ihr reCAPTCHA-Schlüssel kann also von jedem abgerufen und verwendet werden.

HTTP-Methode und URL:

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

JSON-Text der Anfrage:


{
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
  }
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/project-id/keys/6Ldqgs0UAAAAAIn4k7YxEB-LwEh5S9-Gv6IIWB8m",
  "displayName": "DISPLAY_NAME",
  "webSettings": {
    "allowAllDomains": false,
    "allowedDomains": [
      DOMAINS
    ],
    "allowAmpTraffic": false,
    "integrationType": "SCORE",
    "challengeSecurityPreference": "CHALLENGE_SECURITY_PREFERENCE_UNSPECIFIED"
  }
}

(Optional) Geheimen reCAPTCHA-Legacy-Schlüssel finden

Wenn Sie reCAPTCHA in eine Drittanbieteranwendung einbinden möchten, die nicht die reCAPTCHA Enterprise API verwendet, benötigen Sie den geheimen Legacy-Schlüssel.

Für jeden von Ihnen erstellten Websiteschlüssel wird von reCAPTCHA ein geheimer reCAPTCHA-Schlüssel (legacy secret key) erstellt, den Sie mit Ihrer Drittanbieteranwendung verwenden können.

So finden Sie den alten geheimen Schlüssel:

  1. Rufen Sie in der Google Cloud Console die Seite reCAPTCHA auf.

    Zu reCAPTCHA

  2. Suchen Sie im Bereich reCAPTCHA-Schlüssel nach dem von Ihnen erstellten reCAPTCHA-Schlüssel und klicken Sie darauf.

  3. Klicken Sie auf der Seite Schlüsseldetails auf dem Tab Integration auf Legacy-Schlüssel verwenden. Es wird ein Dialogfeld mit einer Anleitung zur Verwendung des alten geheimen Schlüssels geöffnet.

Nächste Schritte