Mit reCAPTCHA-Schlüsseln (auch Schlüssel genannt) können Sie Ihre Endpunkte schützen, indem Sie die Nutzerinteraktionen auf Ihren Webseiten und mobilen Anwendungen überprüfen.
Für die Auswahl des richtigen reCAPTCHA-Schlüsseltyps müssen Sie die für jede Plattform unterstützten Schlüsseltypen und ihre Unterschiede kennen.
Arten von reCAPTCHA-Schlüsseln
In der folgenden Tabelle sind die reCAPTCHA-Schlüssel aufgeführt, die für die einzelnen Plattformen unterstützt werden:
| Plattform | Beschreibung | Unterstützte Schlüssel | Art der Identitätsbestätigung |
|---|---|---|---|
| web | Für die Einbindung auf Webseiten. | Auf Punktzahlen basierende Schlüssel | SCORE |
| Kästchenschlüssel | CHECKBOX |
||
| Mobil | Zur Integration in Android- und iOS-Apps. | reCAPTCHA-Schlüssel für Android | SCORE |
| reCAPTCHA-Schlüssel für iOS | SCORE |
||
| WAF | Für Webseiten und APIs, die über WAF- oder Edge-Compute-Server bereitgestellt werden. | Schlüssel für Aktionstokens | SCORE und CHECKBOX |
| Schlüssel für Sitzungstokens | SCORE |
||
| Schlüssel für die Abfrageseite | INVISIBLE |
||
| API | Für die Integration in APIs oder Clients wie IoT-Geräte, die das reCAPTCHA-JavaScript oder mobile SDKs nicht unterstützen. | Express-Tasten | SCORE |
reCAPTCHA-Schlüsseltyp für das Web auswählen
Für Websites bietet reCAPTCHA punktzahlbasierte (keine Abfrage) und Kästchen-Schlüssel (visuelle Kästchen-Abfrage) zur Überprüfung von Nutzerinteraktionen. Beide Schlüsseltypen geben für jede Anfrage einen Score auf Basis der Interaktionen mit Ihrer Website zurück. Anhand dieses Werts können Sie das Risiko der Interaktion einschätzen und geeignete Maßnahmen für Ihre Website ergreifen.
In der folgenden Tabelle sind die Unterschiede zwischen punktzahlbasierten und Kästchenschlüsseln zusammengefasst. Außerdem können Sie den entsprechenden Schlüssel anhand Ihrer Anwendungsfälle auswählen:
| Vergleichskategorie | Schlüssel auf Grundlage von Punkten (empfohlen) | Kästchenschlüssel |
|---|---|---|
| Beschreibung | Mithilfe von Punktzahl-basierten Schlüsseln können Sie prüfen, ob eine Interaktion ohne Nutzerinteraktion legitim ist. | Kästchen-Schlüssel verwenden eine Kästchen-Abfrage, die eine Nutzerinteraktion erfordert, um zu bestätigen, dass der Nutzer kein Roboter ist. Außerdem können Sie Kästchenschlüssel verwenden, um bestimmte Aktionen mit CAPTCHA-Abfragen zu schützen. |
| Funktionsweise | Mit punktzahlbasierten Schlüsseln gibt die reCAPTCHA Enterprise API eine Punktzahl zurück, mit der Sie auf Ihrer Website Aktionen ausführen können. Sie können beispielsweise zusätzliche Authentifizierungsfaktoren anfordern, Beiträge zur Moderation senden oder Bots drosseln, die eventuell Inhalte extrahieren. |
Mit einem Kästchen-Schlüssel wird das Kästchen Ich bin kein Roboter gerendert, das ein Nutzer anklicken muss, um zu bestätigen, dass er kein Roboter ist. Bei diesem Kästchenschlüssel werden Nutzer möglicherweise mit CAPTCHA-Abfragen konfrontiert. In beiden Fällen gibt die reCAPTCHA Enterprise API eine Punktzahl zurück. Bei CAPTCHA-Abfragen muss ein Nutzer bestimmte Arten von Objekten wie Straßenschilder aus einer Sammlung von Bildern auswählen. Das folgende animierte GIF ist ein Beispiel für einen Schlüssel vom Typ „Kästchen“: Die folgende Abbildung zeigt ein Beispiel für eine CAPTCHA-Abfrage: 
Bevor Sie CAPTCHA-Herausforderungen verwenden können, müssen Sie die Vorsichtsmaßnahmen für CAPTCHA-Abfragen verstehen. |
| Unterstützte Plattformen | Websites und mobile Plattformen. | Nur Websites. |
| Anwendungsfälle |
Punktzahlbasierte Schlüssel sind für folgende Anwendungsfälle geeignet:
|
Kästchenschlüssel sind für Formulare, Anmeldungen und Registrierungen auf Webseiten geeignet. Obwohl dies für Nutzer zusätzlichen Aufwand bedeutet, hilft ein zusätzlicher Schritt wie z. B. eine CAPTCHA-Abfrage dabei, ungeübte Angreifer abzuwehren. |
Vorsichtsmaßnahmen bei CAPTCHA-Abfragen
Wenn Sie Kästchen-Websiteschlüssel mit CAPTCHA-Abfragen verwenden möchten, um automatische Angriffe zu verhindern, beachten Sie folgende Vorsichtsmaßnahmen:
- CAPTCHAs erfordern eine Nutzerinteraktion, was den Aufwand erhöht und die Conversion-Rate senken kann.
- Aufgrund der Fortschritte im Computer Vision und der Maschinenintelligenz werden CAPTCHAs weniger nützlich, um zwischen Menschen und Bots zu unterscheiden.
- CAPTCHAs werden auch von bezahlten Angreifern bedroht, die alle Arten von Herausforderungen lösen können.
- CAPTCHAs sind nicht barrierefrei. Sie sind daher möglicherweise nicht geeignet, wenn Ihre Website Anforderungen an die Barrierefreiheit stellt.
reCAPTCHA-Schlüsseltypen für WAF auswählen
reCAPTCHA für WAF-Integrationen unterstützt Aktionstokens, Sitzungstokens, die Herausforderungsseite und reCAPTCHA Express.
Sie können ein oder mehrere Features von reCAPTCHA for WAF in einer einzigen Anwendung verwenden. Sie können beispielsweise ein Sitzungs-Token auf alle Seiten anwenden. Basierend auf der Punktzahl des Sitzungs-Tokens können Sie verdächtige Anfragen an die reCAPTCHA-Problemseite weiterleiten. Sie können auch ein Aktionstoken für wichtige Aktionen wie die Kasse verwenden. Weitere Informationen finden Sie unter Beispiele.
Die folgende Tabelle zeigt einen kurzen Vergleich der verfügbaren reCAPTCHA for WAF-Funktionen:
| Vergleichskategorie | reCAPTCHA-Aktionstokens | reCAPTCHA-Sitzungstoken | reCAPTCHA-Abfrageseite | reCAPTCHA Express |
|---|---|---|---|---|
| Anwendungsfall | Wird verwendet, um Nutzeraktionen wie Anmelden oder Beiträge kommentieren zu schützen. | Damit können Sie die gesamte Nutzersitzung auf der Domain der Website schützen. | Verwenden Sie diese Option, wenn Sie vermuten, dass Spam-Aktivitäten auf Ihre Website geleitet werden und Bots herausfiltern müssen.
Diese Methode unterbricht die Aktivität eines Nutzers, da der Nutzer eine CAPTCHA-Eingabe bestätigen muss. |
Verwenden Sie reCAPTCHA Express, wenn Ihre Umgebung die Einbindung des reCAPTCHA-JavaScript oder der Mobile SDKs nicht unterstützt. |
| Unterstützte Plattformen | Websites und mobile Apps | Websites | Websites | Alle HTTP-Anfragen. Dazu gehören APIs, Websites, mobile Apps und IoT-Geräte wie Fernseher und Spielekonsolen. |
| Aufwand für die Clientintegration | Mittel
Manuelle clientseitige Integration |
Mittel
Installieren Sie das reCAPTCHA-JavaScript manuell oder durch Einfügen in die WAF. |
Niedrig
Interstitial, das durch Sicherheitsrichtlinien ausgelöst wird. |
Niedrig
Keine Clientintegration. |
| Erkennungsgenauigkeit | Highest
Es sind client-, server- und aktionsspezifische Signale verfügbar. |
Hoch
Es sind client- und serverspezifische Signale verfügbar. |
Mittel
Es sind client- und serverspezifische Signale verfügbar. Clientsignale sind nur auf einer Interstitials-Seite verfügbar. |
Niedrig
Es sind nur serverseitige Signale verfügbar. |
| Unterstützte reCAPTCHA-Version | Punktebasierte reCAPTCHA-Schlüssel und Kästchenschlüssel | Auf Punktzahlen basierende reCAPTCHA-Schlüssel | Aufgabenbasierte reCAPTCHA-Schlüssel, die in eine Interstitials-Seite eingebettet sind | reCAPTCHA Express-Schlüssel |
reCAPTCHA Express-Schlüssel für APIs auswählen
Verwenden Sie reCAPTCHA Express, wenn Ihre Umgebung keine reCAPTCHA-Clientintegration wie die JavaScript API oder die mobilen SDKs unterstützt. reCAPTCHA Express eignet sich für APIs, Websites, mobile Anwendungen und IoT-Geräte wie Fernseher und Spielekonsolen, kann aber auch zum Schutz von Websites oder mobilen Anwendungen verwendet werden, wenn eine clientseitige Integration nicht möglich ist.
Da reCAPTCHA Express nur serverseitig integriert wird, werden keine clientseitigen Signale erfasst. Dies führt in der Regel zu einer geringeren Erkennungsgenauigkeit als bei Integrationen mit einer clientseitigen Komponente.
Nächste Schritte
- reCAPTCHA-Schlüssel für Websites erstellen.
- reCAPTCHA-Schlüssel für mobile Anwendungen erstellen.
- Weitere Informationen zu reCAPTCHA-Schlüsseln für WAF
- Weitere Informationen zu reCAPTCHA-Express-Schlüsseln für APIs