CAPTCHA для SaaS, которая не отпугивает реальных лидов
Фейковые регистрации, выкачивание бесплатного триала, credential stuffing — останавливайте их, не вынуждая реальных лидов уходить на регистрации.
Угрозы для этой формы
Фермы фейковых аккаунтов на бесплатном тарифе
Боты создают тысячи аккаунтов на бесплатном тарифе, чтобы исчерпать ваши триальные кредиты, выкачать квоты AI/API или подготовиться к дальнейшим злоупотреблениям. Расчёт CLV ломается, когда 30% «новых пользователей» — это боты.
Credential stuffing при входе
Утёкшие из других взломов учётные данные распыляются по вашей форме входа. Даже 0,1% попаданий по списку из 100 тыс. учёток — это 100 угонов, а угоны в B2B SaaS коррелируют с утечкой данных, а не только с чарджбэками.
Фарм триалов ради кредитов AI / API
SaaS с упором на AI особенно уязвим: свежий триальный аккаунт стоит реальных денег в квоте на инференс. Боты автоматизируют регистрацию → потребляют квоту → выбрасывают аккаунт в плотном цикле. CAPTCHA на регистрации превращает это из прибыльного в дорогое.
Атаки с тестированием платёжных методов
Если вы принимаете платные апгрейды, страница апгрейда становится мишенью для перебора карт — особенно при низкофрикционных подписочных сценариях. Та же природа, что у злоупотреблений на оформлении заказа в e-commerce: объём меньше, но угроза реальна.
Где размещать CAPTCHA в воронке регистрации SaaS
Не нужно ставить её везде — это убивает конверсию триала. Нужна она в тех точках, по которым реально бьют боты.
- Регистрация / создание триала
Самое ценное размещение. Одна CAPTCHA здесь останавливает большинство ферм фейковых аккаунтов, а адаптивная сложность делает реальных лидов невидимыми.
- Вход и сброс пароля SSO
Защита от credential stuffing без блокировки реальных пользователей. Хорошо сочетается с rate limiting.
- Апгрейд на платный тариф
Защита от перебора карт на платёжном сценарии. Лёгкое размещение — большинство апгрейдов идёт от авторизованных пользователей.
- Принятие приглашения в команду
Останавливает массовый спам приглашениями со скомпрометированного аккаунта. Часто забывают.
- Создание API-ключа
Ограничивает скомпрометированную сессию от создания неограниченного числа ключей. Эшелонированная защита, а не первая линия.
- Форма поддержки / обращения
Останавливает спам-тикеты, которые заваливают реальную поддержку. Дешёвая страховка.
Частые вопросы
Разве CAPTCHA на регистрации не навредит нашей конверсии триала?
Адаптивная CAPTCHA устроена так, чтобы этого не происходило: большинство реальных лидов видят один клик или вообще ничего. Те 1–3%, кто получает видимое испытание, — это и есть трафик с наивысшим риском. Параллельные замеры обычно показывают неизменную или слегка улучшенную конверсию триала по сравнению с отсутствием CAPTCHA (потому что регистрации ботов размывают воронку).
Работает ли CaptchaLa с нашим провайдером авторизации (Auth0, Clerk, Supabase, Firebase)?
Да — CaptchaLa работает перед любым провайдером авторизации. Вы вставляете виджет в форму регистрации (ваш UI), валидируете токен на сервере перед вызовом API регистрации провайдера. Этот паттерн описан в нашей документации для каждого крупного провайдера.
Как нам отличать регистрации реальных лидов от ботов?
CaptchaLa возвращает балл риска с каждой проверкой. Вы можете передавать этот балл в свою аналитику регистраций, чтобы отличать «регистрацию с высоким доверием» от «прошедшей проверку, но с повышенным риском», и честно оценивать когорты.
А что насчёт SSO-сценариев наших корпоративных клиентов?
SSO-сценариям обычно CAPTCHA не нужна — личность уже установлена. Применяйте CAPTCHA на резервных сценариях с email/паролем, при сбросе пароля и при первичной настройке SSO-подключения, если она включает самообслуживаемый шаг.