Questa pagina descrive come rilevare e prevenire le violazioni degli account (ATO) utilizzando reCAPTCHA.
Gli attacchi ATO si verificano in genere quando un utente malintenzionato invia richieste di accesso agli endpoint API utilizzando le credenziali ottenute da una violazione dei dati, nota anche come dump delle password. Questo tipo di attacco può avere successo, anche se il dump delle password proviene da un sito non correlato, perché gli esseri umani tendono a riutilizzare le password su più account. Questo tipo di attacco non interessa gli utenti che praticano una corretta pulizia delle password, ad esempio utilizzando un gestore delle password.
Prima di iniziare
Prepara l'ambiente per reCAPTCHA.
Rilevare e impedire gli ATO
Con reCAPTCHA, puoi rilevare e impedire gli ATO utilizzando una delle seguenti opzioni:
Seleziona la casella di controllo Non sono un robot
L'aggiunta della casella di controllo Non sono un robot al tuo sito è il modo più semplice e veloce per fornire una protezione contro gli ATO senza dover integrare funzionalità aggiuntive, come la verifica via SMS o email. L'interruzione di questa protezione da parte di un utente malintenzionato comporta un costo e questa opzione potrebbe essere sufficiente per alcuni siti.
Aggiungi la casella di controllo "Non sono un robot" alle tue pagine web.
Il seguente codice è un esempio attivo di una pagina di accesso protetta dalla casella di controllo:
function onSuccess(token) {
// The token is included in the POST data in the g-recaptcha-response
// parameter. The backend must create an Assessment with the token
// and verify the token is valid.
console.log(token);
}
<form id="loginForm" action="?" method="POST">
Username: <input type="text" name="username"/><br/>
Password: <input type="password" name="password"/><br/>
<div class="g-recaptcha" data-sitekey="reCATCHA_sitekey"
data-action="account_login" data-callback="onSuccess"></div>
</form>
<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
Puoi fare esperimenti con questo codice in JSFiddle facendo clic sull'icona <> nell'angolo in alto a destra della finestra del codice.
<html>
<head>
<title>Account Login - Checkbox</title>
<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
<script>
function onSuccess(token) {
// The token is included in the POST data in the g-recaptcha-response
// parameter. The backend must create an Assessment with the token
// and verify the token is valid.
console.log(token);
}
</script>
</head>
<body>
<form id="loginForm" action="?" method="POST">
Username: <input type="text" name="username"/><br/>
Password: <input type="password" name="password"/><br/>
<div class="g-recaptcha" data-sitekey="6LeAkOgUAAAAACcy3uY6N9H9SJMS27n3Zx2OOnYK"
data-action="account_login" data-callback="onSuccess"></div>
</form>
</body>
</html>
Usa i punteggi e le sfide personalizzate
Per proteggerti dagli ATO, utilizza le chiavi basate sul punteggio reCAPTCHA e le verifiche dell'autenticazione a più fattori (MFA), come le verifiche via email ed SMS in cui vengono inviati all'utente codici una tantum (OTP).
Per utilizzare chiavi basate sul punteggio e verifiche personalizzate, prendi in considerazione le seguenti opzioni:
Installa chiavi basate sul punteggio per rilevare l'automazione negli ATO su larga scala.
Per installare chiavi basate sul punteggio nelle pagine web, consulta Installare chiavi basate sul punteggio nelle pagine web.
Per installare chiavi basate sul punteggio nelle app mobile, vedi Integrare reCAPTCHA con le app per Android o Integrare reCAPTCHA con le app per iOS.
Utilizza la MFA per verificare la proprietà dell'account al momento dell'accesso o per azioni sensibili.
Per ulteriori informazioni, consulta Configurare l'autenticazione a più fattori.
A seconda del caso d'uso, puoi utilizzare MFA da sola o con chiavi basate sul punteggio. Ad esempio, potresti preferire utilizzare le sfide MFA solo per i punteggi inferiori a una determinata soglia, in modo da ridurre l'attrito.
L'esempio seguente mostra come integrare le chiavi basate sul punteggio nello scenario di accesso.
function submitForm() {
grecaptcha.enterprise.ready(function() {
grecaptcha.enterprise.execute(
'reCAPTCHA_site_key', {action: 'account_login'}).then(function(token) {
document.getElementById("token").value = token;
document.getElementByID("loginForm").submit();
});
});
}
<form id="loginForm" action="?" method="POST"> Username: <input type="text" name="username"/><br/> Password: <input type="password" name="password"/><br/> <input type="hidden" id="token" name="recaptcha_token"/> <button onclick="submitForm()">Login</button> </form>
<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
Puoi fare esperimenti con questo codice in JSFiddle facendo clic sull'icona <> nell'angolo in alto a destra della finestra del codice.
<html>
<head>
<title>Account Login - Score</title>
<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
<script>
function submitForm() {
grecaptcha.enterprise.ready(function() {
grecaptcha.enterprise.execute(
'reCAPTCHA_site_key', {action: 'account_login'}).then(function(token) {
document.getElementById("token").value = token;
document.getElementByID("loginForm").submit();
});
});
}
</script>
</head>
<body>
<form id="loginForm" action="?" method="POST">
Username: <input type="text" name="username"/><br/>
Password: <input type="password" name="password"/><br/>
<input type="hidden" id="token" name="recaptcha_token"/>
<button onclick="submitForm()">Login</button>
</form>
</body>
</html>
Passaggi successivi
- Per scoprire di più sulle altre funzionalità di protezione dell'account, consulta l'articolo Funzionalità di protezione degli account utente.