reCAPTCHA 金鑰 (又稱金鑰):可驗證網頁和行動應用程式上的使用者互動,保護端點安全。
如要選擇適當的 reCAPTCHA 金鑰類型,請務必瞭解各平台支援的金鑰類型及其差異。
reCAPTCHA 金鑰類型
下表列出各平台支援的 reCAPTCHA 金鑰:
| 平台 | 說明 | 支援的鍵 | 驗證類型 |
|---|---|---|---|
| 網路 | 適用於網頁整合。 | 以分數為依據的金鑰 | SCORE |
| 核取方塊鍵 | CHECKBOX |
||
| 行動裝置 | 與 Android 和 iOS 應用程式整合。 | Android 適用的 reCAPTCHA 金鑰 | SCORE |
| iOS 適用的 reCAPTCHA 金鑰 | SCORE |
||
| WAF | 適用於透過 WAF 或 Edge 運算伺服器提供的網頁和 API。 | 動作符記金鑰 | SCORE 和 CHECKBOX |
| 工作階段符記金鑰 | SCORE |
||
| 驗證頁面金鑰 | INVISIBLE |
||
| API | 與不支援 reCAPTCHA JavaScript 或行動裝置 SDK 的 API 或用戶端 (例如 IoT 裝置) 整合。 | 快速鍵 | SCORE |
選擇網頁適用的 reCAPTCHA 金鑰類型
對於網站,reCAPTCHA 提供計分型 (無驗證) 和核取方塊 (核取方塊圖像驗證) 金鑰,用來驗證使用者互動。這兩種金鑰類型都會根據與您網站的互動,為每個請求傳回分數。您可以根據這個分數瞭解互動行為的風險等級,並為網站採取適當行動。
下表摘要列出基於分數和核取方塊的驗證碼之間的差異,並協助您根據用途選擇適當的驗證碼:
| 比較類別 | 以分數為依據的金鑰 (建議) | 核取方塊鍵 |
|---|---|---|
| 說明 | 使用分數型金鑰,您不必與使用者互動,就能驗證互動是否合法。 | 核取方塊金鑰會使用核取方塊驗證方式,要求使用者互動,確認使用者不是機器人。此外,您也可以使用核取方塊金鑰,透過 CAPTCHA 挑戰保護特定動作。 。 |
| 運作方式 | 使用計分型金鑰時,reCAPTCHA Enterprise API 會傳回分數,您可以根據分數視網站情況採取行動。 您可以採取下列行動:要求額外的驗證因素、將貼文送交審核,或限制可能擷取內容的機器人。 |
核取方塊金鑰會顯示「我不是機器人」核取方塊,使用者必須點選這個方塊,才能通過驗證。 這個核取方塊金鑰可能會要求使用者完成人機驗證問題,也可能不會。無論是哪種情況,reCAPTCHA Enterprise API 都會傳回分數。 人機驗證問題會要求使用者從一系列圖片中選取特定類型的物件,例如路標。 以下 GIF 動畫是核取方塊鍵的範例: 下圖顯示 CAPTCHA 驗證問題範例: 
使用人機驗證問題前,請務必瞭解人機驗證問題的注意事項。 |
| 支援的平台 | 網站和行動平台。 | 僅限網站。 |
| 用途 |
基於分數的鍵適用於下列用途:
|
核取方塊金鑰適用於網頁上的表單、登入和註冊。雖然這可能會增加使用者的困擾,但額外步驟 (例如人機驗證) 有助於防範不夠高明的攻擊者。 |
人機驗證問題的注意事項
如要使用核取方塊金鑰搭配 CAPTCHA 驗證,防範自動化攻擊,請注意下列事項:
- 人機驗證需要使用者互動,這會增加操作不便,並可能降低轉換率。
- 隨著電腦視覺和機器智慧技術進步,人機驗證 (CAPTCHA) 越來越難以區分真人和機器人。
- 付費攻擊者也能破解 CAPTCHA,解決所有類型的挑戰。
- 並非所有使用者都能存取 CAPTCHA,因此如果您的網站有無障礙需求,可能不適合使用 CAPTCHA。
為 WAF 選擇 reCAPTCHA 金鑰類型
reCAPTCHA for WAF 整合作業支援動作符記、工作階段符記、驗證頁面和 reCAPTCHA Express
您可以在單一應用程式中使用一或多項 reCAPTCHA for WAF 功能。 舉例來說,您可以選擇為所有網頁套用工作階段符記,並根據工作階段符記的分數,將可疑要求重新導向至 reCAPTCHA 驗證問題頁面。此外,您也可以使用動作權杖執行重要動作,例如結帳。詳情請參閱範例。
下表簡要比較可用的 reCAPTCHA for WAF 功能:
| 比較類別 | reCAPTCHA 動作權杖 | reCAPTCHA 工作階段權杖 | reCAPTCHA 驗證頁面 | reCAPTCHA Express |
|---|---|---|---|---|
| 用途 | 用於保護使用者動作,例如登入或留言。 | 用於保護網站網域中的整個使用者工作階段。 | 懷疑有垃圾內容活動導向網站,且需要篩除機器人時使用。 這個方法會中斷使用者的活動,因為使用者必須驗證人機驗證問題。 |
如果您的環境不支援整合 reCAPTCHA JavaScript 或行動裝置 SDK,請使用 reCAPTCHA Express。 |
| 支援的平台 | 網站和行動應用程式 | 網站 | 網站 | 所有 HTTP 要求。 包括:API、網站、行動應用程式和 IoT 裝置 (例如電視和遊戲主機) |
| 用戶端整合工作 | 中
手動整合用戶端。 |
中
手動安裝 reCAPTCHA JavaScript,或透過 WAF 上的插入作業安裝。 |
低
安全性政策觸發的中間頁廣告。 |
低
沒有用戶端整合。 |
| 偵測準確度 | 最高
您可以使用用戶端、伺服器和動作專屬信號。 |
高
提供用戶端和伺服器專屬信號。 |
中
您可以使用用戶端和伺服器專屬信號。用戶端信號僅適用於中繼網頁。 |
低
僅提供伺服器端信號。 |
| 支援的 reCAPTCHA 版本 | reCAPTCHA 評分和核取方塊金鑰 | 以 reCAPTCHA 分數為準的金鑰 | 內嵌於插頁式廣告中的 reCAPTCHA 驗證問題金鑰 | reCAPTCHA 快速鍵 |
為 API 選擇 reCAPTCHA Express 金鑰
如果您的環境不支援 reCAPTCHA 用戶端整合 (例如 JavaScript API 或行動裝置 SDK),請使用 reCAPTCHA Express。reCAPTCHA Express 適用於 API、網站、行動應用程式和 IoT 裝置 (例如電視和遊戲主機),但如果無法進行用戶端整合,也可以用來保護網站或行動應用程式。
由於 reCAPTCHA Express 僅整合伺服器端,因此無法收集用戶端訊號。與整合用戶端元件的整合方式相比,這種做法通常會導致偵測準確率較低。
後續步驟
- 為網站建立 reCAPTCHA 金鑰。
- 為行動應用程式建立 reCAPTCHA 金鑰。
- 進一步瞭解 WAF 適用的 reCAPTCHA 金鑰。
- 進一步瞭解 API 適用的 reCAPTCHA 快速鍵。