What are Private Access Tokens?

Private Access Tokens (PATs) are cryptographic attestation tokens built on Privacy Pass (RFC 9576). A device proves it is a genuine browser or device through its platform, and the site receives a signed token instead of asking the user to solve a CAPTCHA. The token carries no identity, so the user is not tracked.

Does CaptchaLa replace CAPTCHAs with attestation tokens?

No. CaptchaLa ingests attestation tokens as one trust signal. When a verified token is present, a low-risk user can pass without a challenge. When it is absent or cannot be verified, CaptchaLa falls back to its own risk-based verification. Attestation is additive, not a replacement.

Is PACT a shipping standard?

Not yet. PACT (Private Access Control Tokens) is a June 2026 proposal from Cloudflare, Chrome, Firefox, Edge and Shopify that extends Privacy Pass. It is an early proposal and is years from broad deployment. CaptchaLa supports the existing Private Access Tokens / Privacy Pass mechanism today and tracks the proposal as it develops.

Does attestation work the same on the web and in native apps?

No. On the web, CaptchaLa verifies Private Access Tokens against the issuer public key with no setup on your side. On iOS App Attest and Android Play Integrity, attestation is bound to the app developer identity, so it works only as an optional signal you configure for your own app. Otherwise native apps rely on CaptchaLa device and behavioral risk signals.

Sẵn sàng chứng thực

Private Access Tokens, được đọc như một tín hiệu tin cậy.

Ngành đang xây dựng các token chứng thực mật mã để chứng minh một yêu cầu đến từ một thiết bị thật mà không nhận dạng người dùng. CaptchaLa tiếp nhận các token này để khách truy cập đã xác minh đi qua mà không cần thử thách, và quay về xác minh dựa trên rủi ro cho những người khác. Chúng tôi bổ sung cho chứng thực, không bị nó thay thế.

Bắt đầu miễn phí Quay lại CAPTCHA

Token chứng thực là gì

Một token chứng thực là một tuyên bố được ký xác nhận rằng một yêu cầu đến từ một trình duyệt hoặc thiết bị thật. Thiết bị tự chứng minh với nền tảng của nó, nền tảng phát hành một token, và trang web của bạn nhận token thay vì yêu cầu người dùng giải CAPTCHA. Token không mang theo danh tính, nên nó không theo dõi người dùng giữa các trang.

Trên web, điều này được xây dựng trên Private Access Tokens và Privacy Pass (RFC 9576). Một phần mở rộng mới hơn, PACT — Private Access Control Tokens — được Cloudflare, Chrome, Firefox, Edge và Shopify đề xuất vào tháng 6 năm 2026 để mở rộng cách các token này được phát hành và sử dụng.

Mục tiêu là cho phép người dùng thật bỏ qua thử thách thường xuyên hơn, đồng thời giữ cho việc xác minh riêng tư theo thiết kế.

PACT là một đề xuất sơ khai và còn nhiều năm nữa mới được triển khai rộng rãi. CaptchaLa hỗ trợ cơ chế Private Access Tokens / Privacy Pass hiện có ngày hôm nay và theo dõi đề xuất khi nó phát triển. Không điều nào trong số này buộc bạn phải chờ đợi.

Cách CaptchaLa sử dụng chúng

Chúng tôi xem một token chứng thực như một tín hiệu tin cậy trong số nhiều tín hiệu, không phải toàn bộ quyết định. Luồng rất đơn giản:

Có token

Token đã xác minh, bỏ qua thử thách

Nếu có một token chứng thực hợp lệ, chúng tôi xác minh nó với khóa công khai của bên phát hành. Một khách truy cập rủi ro thấp với token đã xác minh sẽ đi qua mà không cần thử thách tương tác.

Không có token

Quay về xác minh dựa trên rủi ro

Nếu không có token, hoặc không thể xác minh nó, CaptchaLa sử dụng công cụ rủi ro riêng — tín hiệu thiết bị, mạng và hành vi — và chỉ hiển thị thử thách khi yêu cầu trông đáng ngờ.

Nơi nó hoạt động: web so với native

Chứng thực không giống nhau ở mọi nơi. Đây là bức tranh chính xác về những gì hoạt động tự động và những gì cần bạn cấu hình.

Web — Private Access Tokens / Privacy Pass

Tự động

Trên web, CaptchaLa xác minh Private Access Tokens với khóa công khai của bên phát hành. Bạn không cần thiết lập gì — các trình duyệt và thiết bị được hỗ trợ tạo ra token, và chúng tôi đọc nó.

iOS App Attest / Android Play Integrity

Tùy chọn, bạn cấu hình

Các chứng thực native này được ràng buộc với danh tính nhà phát triển riêng của ứng dụng bạn, không phải với một bên phát hành công khai. Chúng chỉ có thể hoạt động như một tín hiệu tùy chọn mà bạn cấu hình cho ứng dụng riêng của mình, nên chúng không tự động với mọi người.

Ứng dụng native khác

Tín hiệu rủi ro của riêng chúng tôi

Khi chứng thực nền tảng không được cấu hình, các ứng dụng native dựa vào tín hiệu rủi ro thiết bị và hành vi riêng của CaptchaLa — chính công cụ bảo vệ phương án dự phòng trên web.

Chứng thực nói "thiết bị thật." Chúng tôi bổ sung "thật và không lạm dụng."

Chứng thực có thể xác nhận một yêu cầu đến từ một thiết bị thật. Nó không thể cho bạn biết liệu thiết bị đó có đang được dùng để lạm dụng dịch vụ của bạn hay không. Khoảng trống đó là nơi giá trị bền vững của CaptchaLa tồn tại — và nó không biến mất khi chứng thực ra mắt.

Credential stuffing

Các thiết bị thật chạy danh sách tên đăng nhập và mật khẩu bị đánh cắp vẫn trông giống thiết bị thật đối với một token chứng thực. Công cụ rủi ro của chúng tôi bắt được mẫu hành vi này.

Proxy và bot farm

Lạm dụng phân tán từ nhiều thiết bị thật vượt qua chứng thực nhưng thất bại ở chấm điểm hành vi và mạng.

Lạm dụng OTP và đăng ký

Tạo tài khoản hàng loạt và khai thác mật khẩu dùng một lần đến từ điện thoại thật. Chúng tôi chấm điểm ý định, không chỉ tính xác thực của thiết bị.

Gian lận và lạm dụng nội dung

Gian lận thanh toán, spam và tải lên độc hại là về hành vi, điều mà chứng thực không đo lường — và là điều mà công cụ rủi ro và kiểm duyệt nội dung của chúng tôi làm được.

Sẵn sàng khi chứng thực sẵn sàng — và bảo vệ bạn ngay bây giờ.

Bao gồm gói miễn phí. Không cần thẻ tín dụng.

Tạo tài khoản miễn phí Khám phá CAPTCHA