谷歌推第三代reCAPTACHA图形验证码:机器欺骗难得逞

2018年10月30日 16:50  
  CAPTCHA是网上常见的图形验证码解决方案,其能够抵御相当一部分机器人的伪造点击,判断当前用户是否为真人。然而矛与盾总是相伴而生,总有机器人试图攻破当前的验证机制。好消息是,谷歌刚刚推出了全新的v3版reCAPTCHA API。在提升识别精度的同时,还进一步减少了对真实用户造成的困扰。
 
  谷歌表示:“在过去十年里,reCAPTCHA技术经历了持续的发展。v1版本中,每个用户都需要完成阅读扭曲字符、并将之输入文本框的挑战”。
 
  为改善用户体验和提升安全性,谷歌引入了v2版本的reCAPTCHA,并开始借助其它信号来识别请求的来源是真人、还是机器人。
 
  这使得reCAPTCHA从检测用户真实性的主导位置、退居到了二线,让大约一半的用户只需通过简单的点击,即可通过认证。
 
  与此同时,谷歌还试图借助各种信号来确定用户的真实性,让识别验证码的挑战显得不那么突兀。
 
  在reCAPTCHA v3的帮助下,谷歌能够让API反馈0.0-1.0之间的分数,对交互的可疑程度进行排名,目标是尽量减少‘中断用户请求、并发起挑战’的需求。
 
  新系统的工作原理是将reCAPTCHA v3放在更多页面上(而不仅仅在登录框设卡),并在后台运行“自适应风险分析”,以提醒存在可疑的流量。
 
  通过这种方法,reCAPTCHA自适应风险分析引擎能够通过网站上不同页面的活动,更精准地识别‘攻击者’的模式。
 
  在reCAPTCHA管理控制台中,你可以全面了解reCAPTCHA分数的分布、以及网站上前10大操作的统计细分,以帮助确定被机器人瞄准的具体网页。
 
  此外,新API具有更高的可定制型。网站可以根据自己的实际需求,选择打击垃圾邮件和资源滥用的力度。
 
  - 首先,管理员可以设置一个阈值,用于确定何时放行、或者需要进一步的验证(比如借助电话和双因素身份验证);
 
  - 其次,你可以将该分数与自己获取的异常信号相结合(例如用户配置文件或事务历史记录);
 
  - 最后,你可以借助reCAPTCHA分数,作为训练机器学习模型、以抵抗机器人滥用的信号之一。