Les clés reCAPTCHA (également appelées clés) vous permettent de protéger vos points de terminaison en vérifiant les interactions des utilisateurs sur vos pages Web et vos applications mobiles.
Pour choisir le type de clé reCAPTCHA approprié, vous devez comprendre les types de clés compatibles avec chaque plate-forme et leurs différences.
Types de clés reCAPTCHA
Le tableau suivant répertorie les clés reCAPTCHA compatibles avec chaque plate-forme :
| Plate-forme | Description | Clés acceptées | Type de question d'authentification |
|---|---|---|---|
| web | Pour l'intégration sur des pages Web. | Clés basées sur des scores | SCORE |
| Clés de case à cocher | CHECKBOX |
||
| mobile | Pour l'intégration aux applications Android et iOS. | Clés reCAPTCHA pour Android | SCORE |
| Clés reCAPTCHA pour iOS | SCORE |
||
| WAF | Pour les pages Web et les API diffusées via des serveurs WAF ou Edge Compute. | Clés de jeton d'action | SCORE et CHECKBOX |
| Clés de jeton de session | SCORE |
||
| Clés de la page de test | INVISIBLE |
||
| API | Pour l'intégration aux API ou aux clients tels que les appareils IoT qui ne sont pas compatibles avec les SDK reCAPTCHA JavaScript ou pour mobile. | touches express | SCORE |
Choisir un type de clé reCAPTCHA pour le Web
Pour les sites Web, reCAPTCHA fournit des clés basées sur des scores (sans test) et des clés de case à cocher (test visuel avec case à cocher) pour vérifier les interactions des utilisateurs. Les deux types de clés renvoient un score pour chaque requête, qui est basé sur les interactions avec votre site. Ce score vous permet de comprendre le niveau de risque lié à l'interaction et vous aide à prendre les mesures appropriées pour votre site.
Le tableau suivant résume les différences entre les clés basées sur des scores et les clés de case à cocher, et vous aide à choisir la clé appropriée en fonction de vos cas d'utilisation :
| Catégorie de comparaison | Clé basée sur des scores (recommandé) | Clé de la case à cocher |
|---|---|---|
| Description | Les clés basées sur des scores vous permettent de vérifier si une interaction est légitime sans aucune interaction de l'utilisateur. | Les clés de case à cocher utilisent une vérification avec case à cocher nécessitant une interaction de l'utilisateur pour vérifier qu'il n'est pas un robot. Vous pouvez également utiliser des clés de case à cocher pour protéger des actions spécifiques avec des tests CAPTCHA. |
| Fonctionnement | Avec les clés basées sur des scores, l'API reCAPTCHA Enterprise renvoie un score que vous pouvez utiliser pour prendre des mesures dans le contexte de votre site. Vous pouvez, par exemple, exiger des facteurs d'authentification supplémentaires, envoyer un post à la modération ou limiter les robots susceptibles de détourner du contenu. |
Une clé de case à cocher affiche la case Je ne suis pas un robot sur laquelle un utilisateur doit cliquer pour confirmer qu'il n'est pas un robot. Cette clé de case à cocher peut ou non soumettre les utilisateurs à des tests CAPTCHA. Dans les deux cas, l'API reCAPTCHA Enterprise renvoie un score. Les tests CAPTCHA nécessitent que l'utilisateur sélectionne certains types d'objets, tels que des plaques de rue, dans une collection d'images. Voici un GIF animé montrant un exemple de clé de case à cocher : L'image suivante montre un exemple de test CAPTCHA : 
Avant d'utiliser des tests CAPTCHA, vous devez comprendre les mises en garde concernant les tests CAPTCHA. |
| Plates-formes compatibles | Sites Web et plates-formes mobiles | Sites Web uniquement. |
| Cas d'utilisation |
Les clés basées sur des scores sont adaptées aux cas d'utilisation suivants :
|
Les clés de case à cocher sont adaptées aux formulaires, aux connexions et aux inscriptions sur les pages Web. Même si cela peut causer des frictions supplémentaires pour les utilisateurs, une étape supplémentaire comme un test CAPTCHA permet de dissuader les pirates informatiques moins sophistiqués. |
Mises en garde concernant les tests CAPTCHA
Si vous souhaitez utiliser des clés de case à cocher comportant des tests CAPTCHA pour vous protéger contre les attaques automatiques, tenez compte des mises en garde suivantes :
- Les CAPTCHA nécessitent l'intervention de l'utilisateur, ce qui augmente les frictions et peut diminuer les taux de conversion.
- En raison des progrès de la vision par ordinateur et de l'intelligence artificielle, les CAPTCHA sont de moins en moins utiles pour distinguer les humains des robots.
- Les CAPTCHA sont également menacés par les pirates informatiques capables de résoudre tous les types de tests.
- Les CAPTCHA ne sont pas accessibles à tous les utilisateurs. Ils peuvent donc ne pas être adaptés si votre site Web présente des exigences d'accessibilité.
Choisir les types de clés reCAPTCHA pour WAF
Les intégrations reCAPTCHA pour WAF sont compatibles avec les jetons d'action, les jetons de session, la page de test et reCAPTCHA Express.
Vous pouvez utiliser une ou plusieurs fonctionnalités de reCAPTCHA pour WAF dans une seule application. Par exemple, vous pouvez choisir d'appliquer un jeton de session pour toutes les pages et, en fonction du score du jeton de session, rediriger les requêtes suspectes vers la page de test reCAPTCHA. Vous pouvez également utiliser un jeton d'action pour les actions importantes, telles que le règlement. Pour en savoir plus, consultez les exemples.
Le tableau suivant présente une brève comparaison des fonctionnalités reCAPTCHA pour WAF disponibles :
| Catégorie de comparaison | Jetons d'action reCAPTCHA | Jetons de session reCAPTCHA | Page de test reCAPTCHA | reCAPTCHA Express |
|---|---|---|---|---|
| Cas d'utilisation | Utilisez-le pour protéger les actions utilisateur, telles que se connecter ou commenter des posts. | Utilisez-le pour protéger l'intégralité de la session utilisateur sur le domaine du site. | Utilisez-le lorsque vous suspectez des activités de spam dirigées vers votre site et que vous devez exclure les robots.
Cette méthode interrompt l'activité de l'utilisateur, car il doit effectuer un test CAPTCHA. |
Utilisez reCAPTCHA Express lorsque votre environnement n'est pas compatible avec l'intégration du code JavaScript reCAPTCHA ou des SDK pour mobile. |
| Plates-formes compatibles | Sites Web et applications mobiles | Sites Web | Sites Web | Toutes les requêtes HTTP. y compris les API, les sites Web, les applications mobiles et les appareils IoT tels que les téléviseurs et les consoles de jeu. |
| Effort d'intégration du client | Moyen
Intégration manuelle côté client. |
Moyen
Installez le code JavaScript reCAPTCHA manuellement ou par injection sur le WAF. |
Faible
Interstitial déclenché par les règles de sécurité. |
Faible
Aucune intégration client. |
| Précision de la détection | Le plus élevé
Des signaux spécifiques au client, au serveur et à l'action sont disponibles. |
Élevé
Des signaux spécifiques au client et au serveur sont disponibles. |
Moyen
Des signaux spécifiques au client et au serveur sont disponibles. Les signaux client ne sont disponibles que sur une page interstitielle. |
Faible
Seuls les signaux côté serveur sont disponibles. |
| Version de reCAPTCHA compatible | Clés reCAPTCHA basées sur des scores et cases à cocher | Clés reCAPTCHA basées sur des scores | Clés basées sur le test reCAPTCHA intégrées à une page interstitielle | Clés reCAPTCHA Express |
Choisir les clés reCAPTCHA Express pour les API
Utilisez reCAPTCHA Express lorsque votre environnement ne prend pas en charge une intégration client reCAPTCHA, comme l'API JavaScript ou les SDK pour mobile. reCAPTCHA Express convient aux API, aux sites Web, aux applications mobiles et aux appareils IoT tels que les téléviseurs et les consoles de jeux, mais peut également être utilisé pour protéger les sites Web ou les applications mobiles lorsqu'une intégration côté client n'est pas possible.
Étant donné que reCAPTCHA Express est une intégration côté serveur uniquement, il ne collecte pas de signaux côté client. Cela se traduit généralement par une précision de détection inférieure à celle des intégrations qui impliquent un composant côté client.
Étapes suivantes
- Créez des clés reCAPTCHA pour les sites Web.
- Créez des clés reCAPTCHA pour les applications mobiles.
- En savoir plus sur les clés reCAPTCHA pour WAF
- En savoir plus sur les clés reCAPTCHA Express pour les API