As chaves reCAPTCHA (também conhecidas como chaves) permitem proteger os endpoints verificando as interações dos usuários nas páginas da Web e nos apps para dispositivos móveis.
Para escolher o tipo de chave reCAPTCHA adequado, é preciso entender os tipos de chaves compatíveis com cada plataforma e as diferenças entre elas.
Tipos de chaves reCAPTCHA
A tabela a seguir lista as chaves do reCAPTCHA compatíveis com cada plataforma:
| Plataforma | Descrição | Chaves compatíveis | Tipo de desafio |
|---|---|---|---|
| web | Para integração em páginas da Web. | Chaves baseadas em pontuação | SCORE |
| Chaves de caixa de seleção | CHECKBOX |
||
| dispositivo móvel | Para integração com apps Android e iOS. | Chaves reCAPTCHA para Android | SCORE |
| Chaves reCAPTCHA para iOS | SCORE |
||
| WAF | Para páginas da Web e APIs veiculadas por servidores de computação de borda ou WAF. | chaves de token de ação | SCORE e CHECKBOX |
| chaves de token de sessão | SCORE |
||
| chaves da página de desafio | INVISIBLE |
||
| API | Para integração com APIs ou clientes, como dispositivos IoT, que não são compatíveis com o JavaScript do reCAPTCHA ou SDKs para dispositivos móveis. | teclas de expressão | SCORE |
Escolher um tipo de chave reCAPTCHA para a Web
Para sites, o reCAPTCHA oferece chaves baseadas em pontuação (sem teste) e caixa de seleção (teste visual de caixa de seleção) para verificar as interações do usuário. Os dois tipos de chave retornam uma pontuação para cada solicitação, que é baseada nas interações com seu site. Essa pontuação representa o nível de risco da interação e ajuda a tomar as ações apropriadas para seu site.
A tabela a seguir resume as diferenças entre as chaves baseadas em pontuação e caixas de seleção. Ela também ajuda a escolher a chave apropriada de acordo com seus casos de uso:
| Categoria de comparação | Chave baseada em pontuação (recomendado) | Chave da caixa de seleção |
|---|---|---|
| Descrição | As chaves baseadas em pontuação permitem verificar se uma interação é legítima sem qualquer interação do usuário. | As chaves de caixa de seleção usam um teste que exige interação do usuário para verificar se o usuário não é um robô. Além disso, é possível usar as chaves de caixa de seleção para proteger ações específicas com testes de CAPTCHA. |
| Como funciona | Com as chaves baseadas em pontuação, a API reCAPTCHA Enterprise retorna uma pontuação, que pode ser usada para executar ações no contexto do site. Exemplos de ações incluem exigir mais fatores de autenticação, enviar uma postagem para a moderação ou limitar bots que podem estar extraindo conteúdo. |
Uma chave de caixa de seleção renderiza uma caixa de seleção Não sou um robô em que o usuário precisa clicar para confirmar que não é um robô. Ela pode exibir um teste de CAPTCHA ou não. Nos dois casos, a API reCAPTCHA Enterprise retorna uma pontuação. Os testes de CAPTCHA exigem que o usuário selecione determinados tipos de objeto, como placas de rua, em meio a uma coleção de imagens. O GIF animado a seguir é um exemplo de chave de caixa de seleção: A imagem a seguir mostra um exemplo de teste de CAPTCHA: 
Antes de usar os testes de CAPTCHA, é necessário entender as ressalvas dos testes de CAPTCHA. |
| Plataformas compatíveis | Sites e plataformas para dispositivos móveis. | Somente sites. |
| Casos de uso |
As chaves baseadas em pontuação são adequadas para os seguintes casos de uso:
|
As chaves de caixa de seleção são apropriadas para formulários, logins e inscrições nas páginas da Web. Embora isso possa causar mais atrito para os usuários, como a etapa extra do teste de CAPTCHA, isso ajuda a impedir ataques pouco sofisticados. |
Ressalvas dos testes de CAPTCHA
Se você quiser usar chaves de caixa de seleção com testes de CAPTCHA para se proteger contra ataques automatizados, esteja ciente das seguintes ressalvas:
- Os CAPTCHAs exigem interação do usuário, o que aumenta o atrito e pode diminuir as taxas de conversão.
- Devido aos avanços na visão computacional e na inteligência das máquinas, os CAPTCHAs estão se tornando cada vez menos úteis para distinguir entre humanos e bots.
- Os CAPTCHAs também estão ameaçados por invasores pagos que podem solucionar todos os tipos de teste.
- Os CAPTCHAs não são acessíveis para todos os usuários. Por isso, eles podem não ser adequados se o site tiver requisitos de acessibilidade.
Escolher tipos de chaves reCAPTCHA para WAF
As integrações do reCAPTCHA para WAF oferecem suporte a tokens de ação, tokens de sessão, página de teste e reCAPTCHA express.
É possível usar um ou mais recursos do reCAPTCHA para WAF em um único aplicativo. Por exemplo, é possível aplicar um token de sessão a todas as páginas e, com base na pontuação do token de sessão, redirecionar solicitações suspeitas para a página de teste do reCAPTCHA. Além disso, é possível usar um token de ação para ações importantes, como a finalização de compra. Para mais informações, consulte os exemplos.
A tabela a seguir mostra uma breve comparação dos recursos disponíveis do reCAPTCHA para WAF:
| Categoria de comparação | Tokens de ação reCAPTCHA | Tokens de sessão reCAPTCHA | Página de teste do reCAPTCHA | reCAPTCHA express |
|---|---|---|---|---|
| Caso de uso | Usado para proteger ações do usuário, como fazer login ou comentar postagens. | Usado para proteger toda a sessão do usuário no domínio do site. | Use quando você suspeitar de atividade de spam direcionada ao site e precisar filtrar bots.
Esse método interrompe a atividade do usuário porque ele precisa verificar um teste de CAPTCHA. |
Use o reCAPTCHA Express quando seu ambiente não for compatível com a integração do JavaScript do reCAPTCHA ou dos SDKs para dispositivos móveis. |
| Plataformas compatíveis | Sites e aplicativos para dispositivos móveis | Sites | Sites | Todas as solicitações HTTP. Incluindo: APIs, sites, aplicativos para dispositivos móveis e dispositivos IoT, como TVs e consoles de jogos |
| Esforço de integração do cliente | Média
Integração manual do lado do cliente. |
Média
Instale o JavaScript do reCAPTCHA manualmente ou por injeção no WAF. |
Baixa
Interstitial acionado por políticas de segurança. |
Baixa
Sem integração de cliente. |
| Precisão da detecção | Maior
Há indicadores específicos de cliente, servidor e ação disponíveis. |
Alta
Há indicadores específicos do cliente e do servidor disponíveis. |
Média
Há indicadores específicos do cliente e do servidor disponíveis. Os indicadores do cliente só estão disponíveis em uma página intersticial. |
Baixa
Somente indicadores do lado do servidor estão disponíveis. |
| Versão compatível do reCAPTCHA | Chaves reCAPTCHA baseadas em pontuação e com caixa de seleção | Chaves reCAPTCHA baseadas em pontuação | Chaves baseadas em desafio do reCAPTCHA incorporadas em uma página intersticial | Chaves expressas do reCAPTCHA |
Escolher chaves expressas do reCAPTCHA para APIs
Use o reCAPTCHA Express quando seu ambiente não oferecer suporte a uma integração de cliente do reCAPTCHA, como a API JavaScript ou os SDKs para dispositivos móveis. O reCAPTCHA Express é adequado para APIs, sites, apps para dispositivos móveis e dispositivos IoT, como TVs e consoles de jogos, mas também pode ser usado para proteger sites ou apps para dispositivos móveis quando uma integração do lado do cliente é inviável.
Como o reCAPTCHA Express é uma integração somente do lado do servidor, ele não tem coleta de sinais do lado do cliente. Isso geralmente resulta em uma acurácia de detecção menor do que as integrações que envolvem um componente do lado do cliente.
A seguir
- Crie chaves reCAPTCHA para sites.
- Crie chaves reCAPTCHA para aplicativos móveis.
- Saiba mais sobre as chaves reCAPTCHA para WAF.
- Saiba mais sobre as chaves express do reCAPTCHA para APIs.