谷歌推出第三代reCAPTACHA图形验证码 机器人欺骗更难得逞
CAPTCHA 是网上常见的图形验证码解决方案,其能够抵御相当一部分机器人的伪造点击,判断当前用户是否为真人。然而矛与盾总是相伴而生,总有机器人试图攻破当前的验证机制。好消息是,谷歌刚刚推出了全新的 v3 版 reCAPTCHA API 。在提升识别精度的同时,还进一步减少了对真实用户造成的困扰。
reCAPTCHA 的最大特色,就是用失真的文本来考验真实用户。
谷歌表示:“在过去十年里,reCAPTCHA 技术经历了持续的发展。v1 版本中,每个用户都需要完成阅读扭曲字符、并将之输入文本框的挑战”。
为改善用户体验和提升安全性,谷歌引入了 v2 版本的 reCAPTCHA,并开始借助其它信号来识别请求的来源是真人、还是机器人。
这使得 reCAPTCHA 从检测用户真实性的主导位置、退居到了二线,让大约一半的用户只需通过简单的点击,即可通过认证。
与此同时,谷歌还试图借助各种信号来确定用户的真实性,让识别验证码的挑战显得不那么突兀。
在 reCAPTCHA v3 的帮助下,谷歌能够让 API 反馈 0.0~1.0 之间的分数,对交互的可疑程度进行排名,目标是尽量减少‘中断用户请求、并发起挑战’的需求。
新系统的工作原理是将 reCAPTCHA v3 放在更多页面上(而不仅仅在登录框设卡),并在后台运行“自适应风险分析”,以提醒存在可疑的流量。
通过这种方法,reCAPTCHA 自适应风险分析引擎能够通过上不同页面的活动,更精准地识别‘攻击者’的模式。
在 reCAPTCHA 管理控制台中,你可以全面了解 reCAPTCHA 分数的分布、以及网站上前 10 大操作的统计细分,以帮助确定被机器人瞄准的具体网页。
此外,新 API 具有更高的可定制型。网站可以根据自己的实际需求,选择打击垃圾邮件和资源滥用的力度。
● 首先,管理员可以设置一个阈值,用于确定何时放行、或者需要进一步的验证(比如借助电话和双因素身份验证);
● 其次,你可以将该分数与自己获取的异常信号相结合(例如用户配置文件或事务历史记录);
● 最后,你可以借助 reCAPTCHA 分数,作为训练机器学习模型、以抵抗机器人滥用的信号之一。