What are Private Access Tokens?

Private Access Tokens (PATs) are cryptographic attestation tokens built on Privacy Pass (RFC 9576). A device proves it is a genuine browser or device through its platform, and the site receives a signed token instead of asking the user to solve a CAPTCHA. The token carries no identity, so the user is not tracked.

Does CaptchaLa replace CAPTCHAs with attestation tokens?

No. CaptchaLa ingests attestation tokens as one trust signal. When a verified token is present, a low-risk user can pass without a challenge. When it is absent or cannot be verified, CaptchaLa falls back to its own risk-based verification. Attestation is additive, not a replacement.

Is PACT a shipping standard?

Not yet. PACT (Private Access Control Tokens) is a June 2026 proposal from Cloudflare, Chrome, Firefox, Edge and Shopify that extends Privacy Pass. It is an early proposal and is years from broad deployment. CaptchaLa supports the existing Private Access Tokens / Privacy Pass mechanism today and tracks the proposal as it develops.

Does attestation work the same on the web and in native apps?

No. On the web, CaptchaLa verifies Private Access Tokens against the issuer public key with no setup on your side. On iOS App Attest and Android Play Integrity, attestation is bound to the app developer identity, so it works only as an optional signal you configure for your own app. Otherwise native apps rely on CaptchaLa device and behavioral risk signals.

Готовы к аттестации

Private Access Tokens как сигнал доверия.

Отрасль создаёт криптографические токены аттестации, которые доказывают, что запрос исходит от реального устройства, не идентифицируя пользователя. CaptchaLa принимает эти токены, чтобы проверенные посетители проходили без проверки, и возвращается к проверке на основе оценки риска для всех остальных. Мы дополняем аттестацию, а не заменяемся ею.

Начать бесплатно Назад к CAPTCHA

Что такое токены аттестации

Токен аттестации — это подписанное утверждение о том, что запрос исходит от настоящего браузера или устройства. Устройство подтверждает себя своей платформе, платформа выпускает токен, и ваш сайт получает токен вместо того, чтобы просить человека решить CAPTCHA. Токен не несёт идентичности, поэтому не отслеживает пользователя между сайтами.

В вебе это построено на Private Access Tokens и Privacy Pass (RFC 9576). Более новое расширение, PACT — Private Access Control Tokens — было предложено в июне 2026 года компаниями Cloudflare, Chrome, Firefox, Edge и Shopify, чтобы расширить способы выпуска и использования этих токенов.

Цель — позволить реальным пользователям чаще пропускать проверки, сохраняя при этом приватность проверки по замыслу.

PACT — это раннее предложение, до широкого внедрения которого ещё годы. CaptchaLa уже сегодня поддерживает существующий механизм Private Access Tokens / Privacy Pass и следит за развитием предложения. Ничто из этого не требует от вас ожидания.

Как CaptchaLa их использует

Мы рассматриваем токен аттестации как один из нескольких сигналов доверия, а не как всё решение целиком. Процесс прост:

Токен присутствует

Проверенный токен — пропускаем проверку

Если присутствует действительный токен аттестации, мы проверяем его по открытому ключу эмитента. Посетитель с низким риском и проверенным токеном проходит без интерактивной проверки.

Токена нет

Возврат к проверке на основе оценки риска

Если токена нет или его не удаётся проверить, CaptchaLa использует собственный движок оценки риска — сигналы устройства, сети и поведения — и показывает проверку только тогда, когда запрос выглядит подозрительно.

Где это работает: веб против нативных приложений

Аттестация работает не везде одинаково. Вот точная картина того, что работает автоматически, а что требует вашей настройки.

Веб — Private Access Tokens / Privacy Pass

Автоматически

В вебе CaptchaLa проверяет Private Access Tokens по открытому ключу эмитента. Вам ничего не нужно настраивать — поддерживаемые браузеры и устройства создают токен, а мы его читаем.

iOS App Attest / Android Play Integrity

Опционально, настраиваете вы

Эти нативные аттестации привязаны к идентичности разработчика вашего собственного приложения, а не к публичному эмитенту. Они могут работать только как опциональный сигнал, который вы настраиваете для своего приложения, поэтому не являются автоматическими для всех.

Нативные приложения в остальных случаях

Наши собственные сигналы риска

Там, где аттестация платформы не настроена, нативные приложения полагаются на собственные сигналы риска устройства и поведения CaptchaLa — тот же движок, который защищает веб в качестве запасного варианта.

Аттестация говорит «реальное устройство». Мы добавляем «реальное и без злоупотреблений».

Аттестация может подтвердить, что запрос исходит от настоящего устройства. Она не может сказать, используется ли это устройство для злоупотребления вашим сервисом. Именно в этом разрыве заключается устойчивая ценность CaptchaLa — и она не исчезает с появлением аттестации.

Подбор учётных данных

Реальные устройства, перебирающие украденные списки логинов и паролей, всё равно выглядят для токена аттестации как реальные устройства. Наш движок оценки риска ловит этот паттерн.

Прокси и бот-фермы

Распределённые злоупотребления со множества настоящих устройств проходят аттестацию, но не проходят поведенческий и сетевой скоринг.

Злоупотребление OTP и регистрациями

Массовое создание аккаунтов и фарминг одноразовых паролей исходят с реальных телефонов. Мы оцениваем намерение, а не только подлинность устройства.

Мошенничество и злоупотребление контентом

Платёжное мошенничество, спам и вредоносные загрузки касаются поведения, которое аттестация не измеряет, — и которое измеряют наш движок оценки риска и модерация контента.

Готовы к аттестации — и защищаем вас уже сейчас.

Бесплатный тариф включён. Кредитная карта не требуется.

Создать бесплатный аккаунт Изучить CAPTCHA