Private Access Tokens, lidos como sinal de confiança.
O setor está construindo tokens criptográficos de attestation que provam que uma requisição vem de um dispositivo real sem identificar o usuário. A CaptchaLa consome esses tokens para que visitantes verificados passem sem desafio, e recorre à verificação baseada em risco para todos os demais. Somos complementares à attestation, não substituídos por ela.
O que são os tokens de attestation
Um token de attestation é uma declaração assinada de que uma requisição vem de um navegador ou dispositivo genuíno. O dispositivo se prova para sua plataforma, a plataforma emite um token, e seu site recebe o token em vez de pedir que a pessoa resolva um CAPTCHA. O token não carrega identidade, então não rastreia o usuário entre sites.
Na web, isso é construído sobre Private Access Tokens e Privacy Pass (RFC 9576). Uma extensão mais recente, PACT — Private Access Control Tokens —, foi proposta em junho de 2026 por Cloudflare, Chrome, Firefox, Edge e Shopify para ampliar como esses tokens são emitidos e usados.
O objetivo é permitir que usuários reais pulem desafios com mais frequência, mantendo a verificação privada por design.
O PACT é uma proposta inicial e está a anos de uma adoção ampla. A CaptchaLa suporta hoje o mecanismo existente de Private Access Tokens / Privacy Pass e acompanha a proposta conforme ela evolui. Nada disso exige que você espere.
Como a CaptchaLa os utiliza
Tratamos um token de attestation como um sinal de confiança entre vários, não como a decisão inteira. O fluxo é simples:
Token verificado, pule o desafio
Se um token de attestation válido estiver presente, nós o verificamos com a chave pública do emissor. Um visitante de baixo risco com token verificado passa sem desafio interativo.
Recorre à verificação baseada em risco
Se não houver token, ou ele não puder ser verificado, a CaptchaLa usa seu próprio motor de risco — sinais de dispositivo, rede e comportamento — e mostra um desafio apenas quando a requisição parece suspeita.
Onde funciona: web versus nativo
A attestation não é a mesma em todos os lugares. Aqui está o quadro exato do que funciona automaticamente e do que exige sua configuração.
Web — Private Access Tokens / Privacy Pass
AutomáticoNa web, a CaptchaLa verifica Private Access Tokens com a chave pública do emissor. Não há nada para você configurar — navegadores e dispositivos compatíveis produzem o token, e nós o lemos.
iOS App Attest / Android Play Integrity
Opcional, você configuraEssas attestations nativas estão vinculadas à identidade de desenvolvedor do seu próprio app, não a um emissor público. Elas só podem funcionar como um sinal opcional que você configura para seu próprio app, então não são automáticas para todos.
Apps nativos no demais
Nossos próprios sinais de riscoOnde a attestation de plataforma não está configurada, os apps nativos dependem dos próprios sinais de risco de dispositivo e comportamento da CaptchaLa — o mesmo motor que protege o fallback da web.
A attestation diz "dispositivo real". Nós acrescentamos "real e sem abuso".
A attestation pode confirmar que uma requisição vem de um dispositivo genuíno. Ela não pode dizer se esse dispositivo está sendo usado para abusar do seu serviço. É nessa lacuna que mora o valor duradouro da CaptchaLa — e ele não desaparece quando a attestation chegar.
Credential stuffing
Dispositivos reais rodando listas roubadas de usuário e senha ainda parecem dispositivos reais para um token de attestation. Nosso motor de risco identifica o padrão.
Proxy e fazendas de bots
Abuso distribuído a partir de muitos dispositivos genuínos passa na attestation, mas falha na pontuação comportamental e de rede.
Abuso de OTP e cadastros
Criação em massa de contas e farming de senhas de uso único vêm de telefones reais. Nós pontuamos a intenção, não apenas a autenticidade do dispositivo.
Fraude e abuso de conteúdo
Fraude de pagamento, spam e uploads nocivos são sobre comportamento, que a attestation não mede — e que o nosso motor de risco e a moderação de conteúdo medem.
Pronta quando a attestation estiver — e protegendo você agora.
Plano gratuito incluído. Sem cartão de crédito.