reCAPTCHA 金鑰 (也稱為金鑰) 可讓您驗證網頁和行動應用程式上的使用者互動,保護端點安全。
如要選擇適當的 reCAPTCHA 金鑰類型,請務必瞭解各平台支援的金鑰類型及其差異。
reCAPTCHA 金鑰類型
下表列出各平台支援的 reCAPTCHA 金鑰:
| 平台 | 說明 | 支援的鍵 | 驗證類型 |
|---|---|---|---|
| 網路 | 適用於網頁整合。 | 以分數為依據的金鑰 | SCORE |
| 核取方塊鍵 | CHECKBOX |
||
| 以政策為準的驗證金鑰 | POLICY_BASED_CHALLENGE |
||
| 行動裝置 | 與 Android 和 iOS 應用程式整合。 | Android 適用的 reCAPTCHA 金鑰 | SCORE |
| iOS 適用的 reCAPTCHA 金鑰 | SCORE |
||
| WAF | 適用於透過 WAF 或 Edge Compute 伺服器提供的網頁和 API。 | 動作符記金鑰 | SCORE 和 CHECKBOX |
| 工作階段符記金鑰 | SCORE |
||
| 驗證頁面金鑰 | INVISIBLE |
||
| API | 適用於與不支援 reCAPTCHA JavaScript 或行動裝置 SDK 的 API 或用戶端 (例如 IoT 裝置) 整合。 | 快速鍵 | SCORE |
選擇網頁適用的 reCAPTCHA 金鑰類型
如要驗證網站上的使用者互動,reCAPTCHA 提供評分型金鑰 (不會觸發人機驗證問題)、核取方塊金鑰 (會觸發非決定性人機驗證問題),以及政策型驗證問題金鑰 (會觸發決定性人機驗證問題)。
所有重要類型都會根據使用者與您網站的互動,為每項要求傳回分數。您可以根據這個分數,瞭解互動行為產生的風險等級,並為網站採取適當行動。
下表摘要說明以分數為準的驗證碼、核取方塊驗證碼和以政策為準的驗證碼之間的差異:
| 比較類別 | 以分數為依據的金鑰 (建議) | 核取方塊鍵 | 以政策為準的驗證金鑰 |
|---|---|---|---|
| 說明 | 使用分數型金鑰,使用者不必操作,即可驗證互動是否正當。 | 核取方塊金鑰會使用核取方塊驗證問題,要求使用者操作,確認使用者不是機器人。此外,您也可以使用核取方塊鍵,透過 CAPTCHA 驗證問題保護特定動作。 |
以政策為準的驗證金鑰會依據設定的分數門檻,觸發 CAPTCHA 驗證問題。您可以使用以政策為準的驗證碼金鑰,透過 CAPTCHA 驗證問題保護特定動作。 |
| 運作方式 | 使用計分型金鑰時,reCAPTCHA Enterprise API 會傳回分數,您可以根據分數視網站情況採取行動。 您可以採取下列行動:要求額外的驗證因素、將貼文送交審核,或限制可能擷取內容的機器人。 |
核取方塊金鑰會顯示「我不是機器人」核取方塊,使用者必須點選該方塊,證明自己不是機器人。這個核取方塊金鑰可能會或可能不會顯示人機驗證問題。 無論是哪種情況,reCAPTCHA Enterprise API 都會傳回分數。 人機驗證問題會要求使用者從一系列圖片中選取特定類型的物件,例如路標。 以下 GIF 動畫是核取方塊鍵的範例: 下圖顯示 CAPTCHA 驗證問題範例: 
使用人機驗證問題前,請務必瞭解人機驗證問題的注意事項。 |
使用以政策為準的驗證問題金鑰時,如果 reCAPTCHA 計算的初始分數低於設定的分數門檻,就會觸發 CAPTCHA 驗證問題。以政策為準的驗證金鑰與核取方塊金鑰不同,因為前者可以確定觸發 Captcha 驗證問題。 人機驗證問題會要求使用者從一系列圖片中選取特定類型的物件,例如路標。 下圖顯示 CAPTCHA 驗證問題範例:
使用人機驗證問題前,請務必瞭解人機驗證問題的注意事項。 |
| 支援的平台 | 網站和行動平台。 | 僅限網站。 | 僅限網站。 |
| 用途 |
基於分數的鍵適用於下列用途:
|
核取方塊金鑰適用於網頁上的表單、登入和註冊。雖然這可能會增加使用者的困擾,但 CAPTCHA 驗證等額外步驟有助於防範不夠高明的攻擊者。 | 以政策為準的驗證金鑰適用於網頁上的表單、登入和註冊。雖然這可能會增加使用者的困擾,但 CAPTCHA 驗證等額外步驟有助於防範不夠高明的攻擊者。 |
人機驗證 (Captcha) 問題的注意事項
如要使用核取方塊金鑰搭配 CAPTCHA 驗證,防範自動化攻擊,請注意下列事項:
- 驗證碼需要使用者互動,這會增加操作不便,並可能降低轉換率。
- 隨著電腦視覺和機器智慧技術進步,人機驗證 (CAPTCHA) 越來越難以區分真人和機器人。
- 付費攻擊者也能破解 CAPTCHA,他們可以解決所有類型的挑戰。
- 並非所有使用者都能通過 CAPTCHA 驗證,因此如果您的網站有無障礙需求,可能不適合使用 CAPTCHA。
為 WAF 選擇 reCAPTCHA 金鑰類型
Google Cloud Armor 整合適用的 reCAPTCHA 支援動作權杖、工作階段權杖、驗證頁面和 reCAPTCHA Express
您可以在單一應用程式中使用一或多項 reCAPTCHA for Google Cloud Armor 功能。舉例來說,您可以選擇為所有網頁套用工作階段符記,並根據工作階段符記的分數,將可疑要求重新導向至 reCAPTCHA 驗證頁面。此外,您也可以使用動作權杖執行重要動作,例如結帳。詳情請參閱範例。
下表簡要比較 Google Cloud Armor 適用的 reCAPTCHA 功能:
| 比較類別 | reCAPTCHA 動作權杖 | reCAPTCHA 工作階段權杖 | reCAPTCHA 驗證頁面 | reCAPTCHA Express |
|---|---|---|---|---|
| 用途 | 用於保護使用者動作,例如登入或留言。 | 用於保護網站網域的整個使用者工作階段。 | 懷疑網站有垃圾內容活動,需要篩除機器人時使用。 這個方法會中斷使用者的活動,因為使用者必須驗證人機驗證問題。 |
如果您的環境不支援整合 reCAPTCHA JavaScript 或行動裝置 SDK,請使用 reCAPTCHA Express。 |
| 支援的平台 | 網站和行動應用程式 | 網站 | 網站 | 所有 HTTP 要求。 包括:API、網站、行動應用程式和 IoT 裝置 (例如電視和遊戲主機) |
| 用戶端整合工作 | 中
手動整合用戶端。 |
中
手動安裝 reCAPTCHA JavaScript,或透過 WAF 上的插入作業安裝。 |
低
安全性政策觸發的插頁式廣告。 |
低
沒有用戶端整合。 |
| 偵測準確度 | 最高
您可以使用用戶端、伺服器和動作專屬信號。 |
高
提供用戶端和伺服器專屬信號。 |
中
您可以使用用戶端和伺服器專屬信號。用戶端信號僅適用於中繼網頁。 |
低
僅提供伺服器端信號。 |
| 支援的 reCAPTCHA 版本 | reCAPTCHA 評分和核取方塊金鑰 | reCAPTCHA 評分機制金鑰 | 內嵌於插頁式廣告中的 reCAPTCHA 驗證問題金鑰 | reCAPTCHA 快速鍵 |
為 API 選擇 reCAPTCHA Express 金鑰
如果您的環境不支援 reCAPTCHA 用戶端整合 (例如 JavaScript API 或行動裝置 SDK),請使用 reCAPTCHA Express。reCAPTCHA Express 適用於 API、網站、行動應用程式和 IoT 裝置 (例如電視和遊戲主機),但如果無法進行用戶端整合,也可以用來保護網站或行動應用程式。
由於 reCAPTCHA Express 僅整合伺服器端,因此無法收集用戶端信號。與包含用戶端元件的整合項目相比,這通常會導致偵測準確率較低。