本文档介绍了如何使用 reCAPTCHA 账号卫士检测和防范网站上与账号相关的欺诈活动。
reCAPTCHA 可帮助您保护关键操作,例如登录和结账。不过,通过观察特定用户在一段时间内在网站上的行为,您可以检测到多种细微的帐号滥用情况。reCAPTCHA 帐号保护程序可为您的网站创建一个针对特定网站的模型,以检测可疑行为的趋势或活动的变化,从而帮助识别此类细微滥用行为。通过使用针对特定网站的模型,reCAPTCHA 账号卫士可帮助您检测以下内容:
- 可疑活动
- 存在类似行为的账号
- 来自已针对特定用户被标记为受信任设备的请求
根据对 reCAPTCHA 帐号卫士和网站专用模型的分析,您可以执行以下操作:
- 限制或停用欺诈性账号。
- 防止账号盗用尝试。
- 减少成功的账号接管问题。
- 请仅授予对来自正当用户帐号的请求的访问权限。
- 减少用户通过其信任的设备登录时的不便。
准备工作
为网页配置 reCAPTCHA 账号卫士
reCAPTCHA 账号卫士需要全面了解账号活动,才能实现有效检测。如需开始将与账号相关的活动馈送到 reCAPTCHA 账号卫士,并创建和改进网站专用模型,请执行以下操作:
启用横向遥测数据收集
reCAPTCHA 账号卫士需要全面了解用户操作,例如用户是否已登录或导致登录。如需让 reCAPTCHA 帐号卫士能够被动收集横向遥测数据,请使用您在用户工作流的所有网页的后台中创建的基于得分的网站密钥加载 reCAPTCHA JavaScript 脚本。
以下示例展示了如何在网页中加载 reCAPTCHA JavaScript 脚本。
<head> <script src="https://www.google.com/recaptcha/enterprise.js?render=KEY_ID"></script> .... </head>
报告关键用户操作
为了检测可疑活动模式并更好地了解您网站上的典型活动模式,reCAPTCHA 账号卫士需要有关关键用户操作的信息。 因此,请针对网页上的关键用户操作调用 grecaptcha.enterprise.execute(),以报告这些关键用户操作。
我们建议报告所有关键用户操作,因为它有助于收集额外的信号。对于您要报告的每项用户操作,请将 grecaptcha.enterprise.execute()
的 action
参数的值替换为描述用户操作的操作名称。
下表列出了在报告关键用户操作时可以使用的操作名称。
操作名称 | 用户发起的事件或用户操作 |
---|---|
LOGIN |
登录网站。 |
REGISTRATION |
在网站上注册。 |
SECURITY_QUESTION_CHANGE |
请求更改安全问题。 |
PASSWORD_RESET |
请求重置密码。 |
PHONE_NUMBER_UPDATE |
请求更新手机号码。 |
EMAIL_UPDATE |
请求更新电子邮件地址。 |
ACCOUNT_UPDATE |
请求更新帐号相关信息,如详细联系信息。 |
TRIGGER_MFA |
触发 MFA 质询的操作。 |
REDEEM_CODE |
请求兑换代码。 |
LIST_PAYMENT_METHODS |
获取付款方式列表。 |
以下示例展示了如何在手机号码更新时调用 grecaptcha.enterprise.execute()
:
<script> function onClick(e) { e.preventDefault(); grecaptcha.enterprise.ready(async () => { const token = await grecaptcha.enterprise.execute('KEY_ID', {action: 'PHONE_NUMBER_UPDATE'}); }); } </script>
评估关键用户事件
当您针对用户操作调用 grecaptcha.enterprise.execute()
时,它会生成一个令牌。对于关键用户事件(例如成功和失败的登录、注册以及已登录用户的操作),请创建评估来评估 grecaptcha.enterprise.execute()
调用的结果。评估会为您提供风险判定结果,帮助您决定如何处理潜在的欺诈性活动。您可以采取的一些措施包括阻止可疑请求、验证有风险的登录行为以及调查感兴趣的帐号。
reCAPTCHA 账号卫士需要您提供稳定的账号标识符,以便将用户活动(例如登录请求、登录请求和注册请求)归因于特定账号。这有助于 reCAPTCHA 账号卫士了解用户活动模式并为每个账号构建活动模型,以更好地检测异常流量和滥用流量。
选择不经常被用户更改的稳定帐号标识符 accountId
,并通过
projects.assessments.create
方法将其提供给评估。对于与同一用户相关的所有事件,这个稳定的账号标识符应该具有相同的值。您可以提供以下内容作为帐号标识符:
用户标识符
如果每个帐号都可以与稳定的用户名、电子邮件地址或手机号码相关联,则可以将其用作 accountId
。在您提供此类跨网站标识符(可在各网站之间重复使用的标识符)时,reCAPTCHA 会标记存在滥用行为的帐号标识符并利用与这些标识符相关的跨网站滥用模式,从而根据跨网站模型,利用这些信息来加强对您的用户帐号的保护。
或者,如果您有一个与每个帐号唯一关联的内部用户 ID,可以作为 accountId
提供该 ID。
经过哈希处理或加密
如果您没有与每个帐号唯一关联的内部用户 ID,则可以将任何稳定的标识符转换为不透明的网站专用帐号标识符。reCAPTCHA 账号卫士仍然需要此标识符来了解用户活动模式并检测异常行为,但它不会在其他网站之间共享。
请选择任何稳定的账号标识符并将其设为不透明,然后再使用加密或哈希处理发送到 reCAPTCHA:
加密(推荐):使用可生成稳定密文的确定性加密方法对帐号标识符进行加密。如需了解详细说明,请参阅确定性地加密数据。如果您选择对称加密(而非哈希),则无需在用户标识符和对应的不透明用户标识符之间保留映射。解密 reCAPTCHA 返回的不透明标识符,以将其转换为用户标识符。
哈希方法:我们建议使用 SHA256-HMAC 方法和您选择的自定义盐对账号标识符进行哈希处理。由于哈希是单向的,因此您需要在生成的哈希与用户标识符之间保持映射,以便可以将返回的经过哈希处理的账号标识符映射回原始账号。
除了为所有与帐号相关的请求提供稳定的帐号标识符之外,您还可以为某些特定请求提供其他帐号标识符(可能不稳定)。除 accountId
之外,还提供特定于上下文的帐号标识符,帮助 reCAPTCHA 帐号卫士更好地了解用户活动并检测帐号盗用尝试,以确保用户帐号的安全。在您提供其他标识符后,reCAPTCHA 会标记存在滥用行为的帐号标识符并利用与这些标识符相关的跨网站滥用模式,从而根据跨网站模型,利用这些信息来加强对您的用户帐号的保护。例如,您可以提供以下内容:
用作登录请求的登录标识名的用户名、电子邮件地址或手机号码
针对多重身份验证请求验证的电子邮件地址或手机号码
用户在账号更新请求期间提供的电子邮件地址或手机号码(主要或辅助)
用户在注册请求期间提供的电子邮件地址和手机号码
对于所有与帐号相关的请求,将所选的稳定帐号标识符附加到
projects.assessments.create
方法中的 accountId
参数。(可选)在评估中使用 userIds
字段为相关请求提供其他账号标识符。
在使用任何请求数据之前,请先进行以下替换:
- PROJECT_ID:您的 Google Cloud 项目 ID
- TOKEN:从
grecaptcha.enterprise.execute()
调用返回的令牌 - KEY_ID:与网站关联的 reCAPTCHA 密钥
- ACCOUNT_ID:与您网站的用户帐号的用户帐号唯一关联的标识符。
- EMAIL_ADDRESS:可选。与此请求关联的电子邮件地址(如果有)
- PHONE_NUMBER:可选。与此请求关联的手机号码(如果有)
- USERNAME:可选。与此请求关联的用户名(如果有)
HTTP 方法和网址:
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments
请求 JSON 正文:
{ "event": { "token": "TOKEN", "siteKey": "KEY_ID", "userInfo": { "accountId": "ACCOUNT_ID", "userIds": [ { "email": "EMAIL_ADDRESS" }, { "phoneNumber": "PHONE_NUMBER" }, { "username": "USERNAME" } ] } } }
如需发送请求,请选择以下方式之一:
curl
将请求正文保存在名为 request.json
的文件中,然后执行以下命令:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments"
PowerShell
将请求正文保存在名为 request.json
的文件中,然后执行以下命令:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments" | Select-Object -Expand Content
您应该收到类似以下内容的 JSON 响应:
{ "tokenProperties": { "valid": true, "hostname": "www.google.com", "action": "login", "createTime": "2019-03-28T12:24:17.894Z" }, "riskAnalysis": { "score": 0.6, }, "event": { "token": "TOKEN", "siteKey": "KEY", "userInfo": { "accountId": "ACCOUNT_ID" } }, "name": "projects/PROJECT_NUMBER/assessments/b6ac310000000000", "accountDefenderAssessment": { "labels": ["SUSPICIOUS_LOGIN_ACTIVITY"] } }
代码示例
Java
如需向 reCAPTCHA 进行身份验证,请设置应用默认凭据。如需了解详情,请参阅为本地开发环境设置身份验证。
解读关键用户事件的风险判定结果
如果您在启用了账号保护程序的情况下创建评估,账号保护程序会在评估响应中返回 accountDefenderAssessment
。accountDefenderAssessment
的值可帮助您评估用户活动是合法的还是欺诈性的。它还会返回您在注释用户事件时需要使用的评估 ID。
以下示例是 JSON 响应示例:
{ "tokenProperties": { "valid": true, "hostname": "www.google.com", "action": "login", "createTime": "2019-03-28T12:24:17.894Z" }, "riskAnalysis": { "score": 0.6, }, "event": { "token": "TOKEN", "siteKey": "KEY_ID", "expectedAction": "USER_ACTION" }, "name": "projects/PROJECT_ID/assessments/b6ac310000000000X", "accountDefenderAssessment": { labels: ["SUSPICIOUS_LOGIN_ACTIVITY"] } }
accountDefenderAssessment
字段可以采用以下任意值:
价值 | 说明 |
---|---|
SUSPICIOUS_LOGIN_ACTIVITY |
表示相应请求存在较高的凭据填充或账号盗用风险。 |
SUSPICIOUS_ACCOUNT_CREATION |
表示相应请求存在很大的滥用账号创建风险的风险。 |
PROFILE_MATCH |
表示用户的属性与之前看到的此特定用户的属性相匹配。此值表明该用户使用的是之前曾用来访问您的网站的可信设备。 只有在下列情况下,系统才会返回
|
RELATED_ACCOUNTS_NUMBER_HIGH |
表示请求具有大量的相关帐号。这并不一定意味着帐号存在问题,但可能需要进一步调查。 |
为事件添加注解,以调整网站专用模型
如需向 reCAPTCHA 账号卫士提供更多信息并改进网站特定检测模型,您必须通过创建评估来为所评估的事件添加注释。
如需为评估添加注释,您可以使用评估 ID 向 projects.assessments.annotate
方法发送请求。在该请求的正文中添加标签,用于提供有关评估中描述的事件的更多信息。
如需为评估添加注解,请执行以下操作:
-
根据您的使用场景确定要在请求 JSON 正文中添加的信息和标签。
下表列出了可用于为事件添加注释的标签和值:
标签 说明 请求示例 reasons
必需。支持评估的标签。 事件发生后几秒或几分钟内,在
reasons
标签中提供实时事件详细信息,因为这些详细信息会影响实时检测。如需查看可能值的列表,请参阅原因值。
示例:如需检测帐号盗用,请使用
CORRECT_PASSWORD
或INCORRECT_PASSWORD
值注释输入的密码是否正确。如果您部署了自己的 MFA,则可以添加以下值:INITIATED_TWO_FACTOR
以及PASSED_TWO_FACTOR
或FAILED_TWO_FACTOR
。{ "reasons": ["INCORRECT_PASSWORD"] }
annotation
可选。指示评估合法性的标签。 在
annotation
标签中提供有关登录和注册事件的信息,以验证或更正您的风险评估。可能的值:
LEGITIMATE
或FRAUDULENT
。您可以随时发送此信息,也可以作为批量作业的一部分发送。但是,我们建议您在事件发生后的几秒或几分钟内发送此信息,因为它们会影响实时检测。
{ "annotation": "LEGITIMATE" }
accountId
可选。用于将帐号 ID 与事件相关联的标签。
如果您创建的评估没有帐号 ID,请使用此标签提供事件的帐号 ID(如果有)。
{ "accountId": "ACCOUNT_ID" }
使用适当的标签创建注解请求。
在使用任何请求数据之前,请先进行以下替换:
- ASSESSMENT_ID:从
projects.assessments.create
调用返回的name
字段的值。 - ANNOTATION:可选。指示评估结果是合法还是欺诈的标签。
- REASONS:可选。支持您的注解的原因。如需查看可能值的列表,请参阅原因值。
- ACCOUNT_ID:可选。与您网站上的用户帐号唯一关联的标识符。
如需了解详情,请参阅注解标签。
HTTP 方法和网址:
POST https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate
请求 JSON 正文:
{ "annotation": ANNOTATION, "reasons": REASONS, "accountId": ACCOUNT_ID }
如需发送请求,请选择以下方式之一:
curl
将请求正文保存在名为
request.json
的文件中,然后执行以下命令:curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate"PowerShell
将请求正文保存在名为
request.json
的文件中,然后执行以下命令:$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate" | Select-Object -Expand Content您应该会收到一个成功的状态代码 (2xx) 和一个空响应。
- ASSESSMENT_ID:从
代码示例
Java
如需向 reCAPTCHA 进行身份验证,请设置应用默认凭据。如需了解详情,请参阅为本地开发环境设置身份验证。
启用 reCAPTCHA 账号卫士
为网页配置 reCAPTCHA 账号卫士后,您可以启用 reCAPTCHA 账号卫士。
在 Google Cloud 控制台中,前往 reCAPTCHA 页面。
验证项目的名称是否显示在页面顶部的资源选择器中。
如果您没有看到项目名称,请点击资源选择器,然后选择您的项目。
- 点击 设置。
在账号卫士窗格中,点击启用。
在 Configure account Defender 对话框中,点击 Enable。
reCAPTCHA 账号卫士的启用可能需要几个小时的时间才能传播到我们的系统。启用该功能的操作传播到我们的系统后,您将在评估过程中开始接收与账号卫士相关的响应。