BLOG ブログ

エンジニアブログ

2017.03.10

見えない画像認証: invisible reCaptchaのベータ版を触ってみた

こんにちわ、制作開発チームのカーシャです。

今日は、今はまだベータ版の「invisible reCaptcha」を試した事について書きます。
ソリューションの名前って、かっこいい方がいいですよね。
「invisible」、つまり「見えない」セキュリティ認証なんて、聞くだけで興味がわきます。

まだベータ版なので通常の設定画面からは申し込めないようですがこのサイトからなら検証の申請が可能です。
https://g.co/recaptcha/invisiblesignup

一度サイトの設定を行うと、今のバージョンと同じ管理画面に表示されるようになります。
設定画面自体は、従来のreCaptchaとそれほど変わらず、「対象ドメイン」を指定して「セキュリティレベル」の設定を行います。

reCaptcha設定画面

何がどう違うのか

エンジニアとして気になる実装の部分での変更点ですね。
嬉しいことに、API通信の部分は今の最新バージョンと仕様が同じです。

ウェブ側の実装だけが若干変わります。
今後のreCaptchaはフォームを送信するコールバック処理が必ず必要になりますが、実装自体は今までと同じように、とても簡単です。

参考に、invisible reCaptchaのドキュメントのURLを貼ります:
https://developers.google.com/recaptcha/docs/invisible

ほかの変更点として、明示的なレンダリングを使った実装の際、面白いオプションが導入されそうです。今までと違って、reCaptchaがサイトに導入されていることがパット見でわからなくなるためか、それをユーザーに知らせるオプションが追加されそうです。

「data-badge」 → 表示される四角いreCaptchaのバッジの表示位置指定ができるオプションです。bottomright、bottomleft 、inlineのオプションがあります。デフォルトはbottomrightで、ブラウザーの画面の右下の一番端っこに小さく表示されています。

さて、「invisible」reCaptchaの実装部分では、それほど大きな違いはないのに、ユーザー側には、今までと大きく違う点があります。

従来の白い枠と「私はロボットではありません」のチェックボックスがないです。
そうなんです。ユーザーが、いつもどおり、ログインボタンを押すだけで十分なんです!
ユーザーが知らないうちに裏でセキュリティ認証を行うAPI通信が実行され、その過程で一部のユーザーのみに、今までと同じ画像認証が表示され、操作をしなければならないです。
正直なところ、この機能をテストしている中で「いきない画像認証が表示され操作を求められる」と点は反って少し使いにくいように感じましたので、導入時はヘルプの作成などを合わせて行ったほうがいいと思います。

まとめ

どのセキュリティ認証でも、導入した場合ユーザーには手間や負担を掛けてしまうことになります。
しかし、導入しなかった場合、リスト型攻撃によりログインが成功するアカウントが特定出来てしまい、ユーザーの情報が危険にさらされることになります。
バランスが取りにくいところではありますが、ここは「安全第一」を考えて判断すべきかなと思います。

reCaptchaとは?

Googleが提供している一種の画像認証のソリューションです。詳しくは、こちらを見てください:
https://www.google.com/recaptcha/intro/index.html

  • Happi+ 「ハピタス」とは?