我不是机器人 谷歌推出新版人机验证reCaptcha v3

CAPTCHA(Completely Automated Turing test to tell Computers and Humans Apart),意思是区分计算机与人类的全自动化图灵测试,依靠人类解决视觉谜题的能力,比如分辨模糊的文字或谷歌街景地址,令网站可以过滤掉机器人。

自谷歌2009年获得reCAPTCHA以来,该系统历经数次重大更新,其最新版本不再需要人类解决谜题,只需勾选“我不是机器人”的复选框就行了。

ReCAPTCHA v1 需要用户读取扭曲的文本并录入到文本输入框中,帮助了该公司将图书和报纸存档数字化。

ReCAPTCHA v2 引入了其他信号来分析网站访问者是机器人程序的风险,令谷歌仅需要求一半左右的用户在登录时解决视觉谜题。

2018年10月30日发布的 ReCAPTCHA v3 走得更远,通过给网站拥有者一个表明用户危险程度的风险评分,有效摒弃了让用户解决视觉谜题或通过其他挑战才可以登录的麻烦。

谷歌宣称,ReCAPTCHA v3 将带给网站用户“平滑体验”。也就是说,网站拥有者可以将 ReCAPTCHA v3 添加到多个页面而不仅仅是一个页面。

reCAPTCHA自适应风险分析引擎可以通过观察网站不同页面的活动,更准确地识别攻击者的模式。

因为该引擎基于评分而不依赖需人力解决的障碍来区分人类与机器人程序,在多个页面上使用reCAPTCHA不会伤害到网站的新用户转化率。

网站拥有者可在reCAPTCHA管理面板上看到分数分布情况,以及用户或机器人在该网站上最常见的10种行为。1.0的得分表示有极大可能是人类,0.0则表示很可能是机器人。

部署reCAPTCHA将使网站拥有者看出到底哪些网页是机器人的目标,然后评估这些网页上的流量有多可疑。

采用评分的优势在于,网站拥有者可使用该信息来自行选择想要设置的登录挑战而不是由谷歌来选择——就好像 reCAPTCHA v2 做的那样。

比如说,网站拥有者可以设置一个无需通过额外挑战就能顺利访问网站的阈值。如果超过了预设的阈值,网站拥有者可以要求访客采用双因子身份验证或者电话通知来验明正身。默认情况下,谷歌将该阈值设置为0.5。

网站拥有者还可以联合使用reCAPTCHA评分和自己的数据,比如用户资料或交易历史,来确定合适的策略。利用reCAPTCHA评分训练自身反机器人机器学习模型就是个不错的用例。

reCAPTCHA v3 往使用了reCAPTCHA的网页引入了“动作”的概念。reCAPTCHA提供了管理控制台中十大动作的分类,网站可以在运行有reCAPTCHA的网页上拣取某个动作名称,然后基于通用动作的上下文进行风险分析。

通过提供为不同类型的流量自定义动作的新方法,新版reCAPTCHA能帮助网站拥有者抵御机器人程序,基于网站的特定需求来提升用户体验。

上一篇:CommonRansom勒索软件要求受害者提供RDP权限

下一篇:如何绕过新版Windows的UAC机制