此場景面臨的威脅
免費方案的假帳號養殖
機器人建立成千上萬個免費方案帳號,用來耗盡你的試用額度、爬取你的 AI/API 配額,或為下游濫用佈樁。當「新用戶」有 30% 是機器人時,顧客終身價值的算式就歪了。
登入頁的撞庫攻擊
從其他資料外洩事件流出的帳密會被噴灑到你的登入表單。即使對一份 10 萬筆帳密清單只有 0.1% 命中率,也代表 100 個帳號被接管——而 B2B SaaS 的帳號接管與資料外洩相關,不只是拒付而已。
為 AI/API 額度而養免費試用
以 AI 為核心的 SaaS 尤其暴露:一個全新的免費試用帳號在推論配額上值真金白銀。機器人以緊湊迴圈自動化「註冊→消耗配額→丟棄」。在註冊處加上 CAPTCHA,就能把這件事從有利可圖變成昂貴。
付款方式測試攻擊
若你接受付費升級,升級頁就成了盜刷測試的目標——對低摩擦的訂閱流程尤其如此。形態與電商結帳濫用相同,量較小但確實存在。
SaaS 註冊漏斗中該把 CAPTCHA 放在哪裡
你不會想處處都放——那會摧毀試用轉換率。你要放在機器人實際會打的點上。
- 註冊/建立免費試用
單一最高價值的佈點。在此放一道 CAPTCHA 就能擋下多數假帳號養殖,且自適應難度讓真實潛在客戶全程無感。
- 登入與 SSO 密碼重設
撞庫防禦,又不會把真實用戶鎖在門外。與速率限制相輔相成。
- 付費方案升級
為付款流程提供盜刷測試防護。輕度佈點——多數升級來自已登入用戶。
- 團隊邀請接受
擋下被入侵帳號發出的大量邀請垃圾訊息。常被遺忘。
- API 金鑰建立
限制被入侵的工作階段無上限地產生金鑰。是縱深防禦,而非第一道防線。
- 客服/聯絡表單
擋下淹沒真實支援的垃圾工單。廉價保險。
常見問題
在註冊處放 CAPTCHA 不會傷害我們的試用轉換率嗎?
自適應 CAPTCHA 的設計就是不會:多數真實潛在客戶看到的是一鍵點擊或完全無可見內容。那 1–3% 收到可見挑戰的人,也正是風險最高的流量。並排實測通常顯示,相較於完全不用 CAPTCHA(因為機器人註冊會稀釋漏斗),試用轉換率持平或略有提升。
CaptchaLa 能搭配我們的認證供應商(Auth0、Clerk、Supabase、Firebase)嗎?
可以——CaptchaLa 運行在任何認證供應商之前。你把元件注入註冊表單(你的 UI),在呼叫供應商的註冊 API 之前於伺服端驗證 token。我們的文件針對每家主流供應商都記載了此模式。
我們如何分辨註冊者是真實潛在客戶還是機器人?
CaptchaLa 會在每次驗證時回傳風險分數。你可以把該分數一路帶到下游的註冊追蹤,讓分析能區分「高信任註冊」與「已驗證但風險升高」,誠實地衡量各個世代群組。
我們企業客戶的 SSO 流程怎麼辦?
SSO 流程通常不需要 CAPTCHA——身分已經建立。請把 CAPTCHA 套用在 email/密碼的備援流程、密碼重設,以及初次 SSO 連線設定(若其中包含自助步驟)。