CAPTCHA是网上常见的图形验证码解决方案,其能够抵御相当一部分机器人的伪造点击,判断当前用户是否为真人。然而矛与盾总是相伴而生,总有机器人试图攻破当前的验证机制。好消息是,谷歌刚刚推出了全新的v3版reCAPTCHA API。在提升识别精度的同时,还进一步减少了对真实用户造成的困扰。
谷歌表示:“在过去十年里,reCAPTCHA技术经历了持续的发展。v1版本中,每个用户都需要完成阅读扭曲字符、并将之输入文本框的挑战”。
为改善用户体验和提升安全性,谷歌引入了v2版本的reCAPTCHA,并开始借助其它信号来识别请求的来源是真人、还是机器人。
这使得reCAPTCHA从检测用户真实性的主导位置、退居到了二线,让大约一半的用户只需通过简单的点击,即可通过认证。
与此同时,谷歌还试图借助各种信号来确定用户的真实性,让识别验证码的挑战显得不那么突兀。
在reCAPTCHA v3的帮助下,谷歌能够让API反馈0.0-1.0之间的分数,对交互的可疑程度进行排名,目标是尽量减少‘中断用户请求、并发起挑战’的需求。
新系统的工作原理是将reCAPTCHA v3放在更多页面上(而不仅仅在登录框设卡),并在后台运行“自适应风险分析”,以提醒存在可疑的流量。
通过这种方法,reCAPTCHA自适应风险分析引擎能够通过网站上不同页面的活动,更精准地识别‘攻击者’的模式。
在reCAPTCHA管理控制台中,你可以全面了解reCAPTCHA分数的分布、以及网站上前10大操作的统计细分,以帮助确定被机器人瞄准的具体网页。
此外,新API具有更高的可定制型。网站可以根据自己的实际需求,选择打击垃圾邮件和资源滥用的力度。
- 首先,管理员可以设置一个阈值,用于确定何时放行、或者需要进一步的验证(比如借助电话和双因素身份验证);
- 其次,你可以将该分数与自己获取的异常信号相结合(例如用户配置文件或事务历史记录);
- 最后,你可以借助reCAPTCHA分数,作为训练机器学习模型、以抵抗机器人滥用的信号之一。