Google于周一(10/29)正式发表了reCAPTCHA v3 API,这是Google于去年3月就开始测试的隐形reCAPTCHA技术,它不再要求使用者与网站之间的互动,而是替使用者的行为进行评分,由网站自行决定是否对使用者展开验证。
在Google于2009年买下专门提供CAPTCHA图像验证机制的reCAPTCHA之后,Google即不断强化reCAPTCHA的能力,在reCAPTCHA v1时代,或许使用者还记得在登入网站时,必须辨识并输入图像中扭曲的文字,在2014年推出的reCAPTCHA v2,则已进展到只需勾选"我不是机器人"(I'm not a robot)就能辨识是人类或机器人,让reCAPTCHA挑战退居第二线,估计有一半的使用者只透过勾选就通过了验证。
而最新的reCAPTCHA v3则是在背景执行风险分析,让使用者能够在网站上享受流畅的浏览经验,同时可在发现可疑流量时通知网站。
reCAPTCHA v3所传回的分数介于0.0到1.0之间,其中,1.0被归类为正常且良好的互动,0.0则极有可能是机器人,网站可设定触动警报的门槛,或根据这些评分决定所要采取的行动,例如针对可疑的登入要求双因素验证等。
Google说明,他们在reCAPTCHA v3中采用了新的"行动"(Action)概念,供网站定义使用者浏览的关键步骤,同时启用reCAPTCHA进行风险分析,如造访首页、读取网站、登入或评论等。由于最新版已不会再干扰使用者的浏览行为,Google建议网站可在不同的网页上部署reCAPTCHA v3,让风险分析引擎能够藉由观察不同网页上的活动以更精准地辨识攻击模式。
除了可用来辨识机器人且不再对用户造成困扰之外,reCAPTCHA v3的另一个优点是可协助网站防范垃圾信息及滥用行为,除了设定分数门槛之外,还可整合reCAPTCHA v3的分数与网站所拥有的使用者档案或交易历史纪录,或是以reCAPTCHA v3的分数作为训练站上抗滥用机器学习模型的讯号之一。
根据Datanyze的统计,目前坊间约有14种CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart,全自动电脑及人类图形鉴别测试系统)技术,市占率最高的即是reCAPTCHA的61.74%,居次的CAPTCHA则占了37.96%。
安全优佳
http://news.secwk.com
长按识别左侧二维码,关注我们