Auf dieser Seite wird beschrieben, wie Sie Kontoübernahmen (Account Takeovers, ATOs) mit reCAPTCHA Enterprise erkennen und verhindern.
ATO-Angriffe treten normalerweise auf, wenn ein Angreifer Anfragen zur Anmeldung bei API-Endpunkten sendet. Dabei werden Anmeldedaten verwendet, die aus einer Datenpanne stammen. Diese werden auch als Kennwort-dump bezeichnet. Diese Art von Angriff kann erfolgreich sein, selbst wenn der Kennwort-dump von einer anderen Website stammt, da Menschen dazu neigen, Kennwörter über mehrere Konten hinweg wiederzuverwenden. Diese Art von Angriff funktioniert nicht gegen Nutzer, die eine angemessene Kennwortpraxis anwenden, z. B. mithilfe eines Kennwortmanagers.
Hinweise
Bereiten Sie Ihre Umgebung für reCAPTCHA Enterprise vor.
ATOs erkennen und verhindern
Mit reCAPTCHA Enterprise können Sie ATOs mit einer der folgenden Optionen erkennen und verhindern:
Kästchen „Ich bin kein Roboter“ verwenden
Das Hinzufügen des Kontrollkästchens Ich bin kein Roboter zu Ihrer Website ist der schnellste und einfachste Weg, um einen gewissen Schutz gegen ATOs zu bieten, ohne zusätzliche Funktionen wie SMS- oder E-Mail-Bestätigung integrieren zu müssen. Es verursacht Kosten für einen Angreifer, diesen Schutz aufzuheben. Diese Option kann für einige Websites ausreichend sein.
Fügen Sie das Kästchen „Ich bin kein Roboter“ auf Ihren Webseiten hinzu.
Der folgende Code ist ein Live-Beispiel einer einfachen Anmeldeseite, die durch das Kästchen geschützt ist:
function onSuccess(token) {
// The token is included in the POST data in the g-recaptcha-response
// parameter. The backend must create an Assessment with the token
// and verify the token is valid.
console.log(token);
}
<form id="loginForm" action="?" method="POST">
Username: <input type="text" name="username"/><br/>
Password: <input type="password" name="password"/><br/>
<div class="g-recaptcha" data-sitekey="reCATCHA_sitekey"
data-action="account_login" data-callback="onSuccess"></div>
</form>
<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
Sie können mit diesem Code in JSFiddle experimentieren. Klicken Sie dazu in der oberen rechten Ecke des Codefensters auf das Symbol <>.
<html>
<head>
<title>Account Login - Checkbox</title>
<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
<script>
function onSuccess(token) {
// The token is included in the POST data in the g-recaptcha-response
// parameter. The backend must create an Assessment with the token
// and verify the token is valid.
console.log(token);
}
</script>
</head>
<body>
<form id="loginForm" action="?" method="POST">
Username: <input type="text" name="username"/><br/>
Password: <input type="password" name="password"/><br/>
<div class="g-recaptcha" data-sitekey="6LeAkOgUAAAAACcy3uY6N9H9SJMS27n3Zx2OOnYK"
data-action="account_login" data-callback="onSuccess"></div>
</form>
</body>
</html>
Punktzahlen und individuelle Wettkämpfe verwenden
Verwenden Sie zum Schutz vor ATOs die auf Punktzahlen basierenden reCAPTCHA-Schlüssel und nutzen Sie Multi-Faktor-Authentifizierung (MFA)-Identitätsbestätigungen wie E-Mail- und SMS-Herausforderungen, bei denen einmalige Codes (OTPs) an den Nutzer gesendet werden.
Wenn Sie wertbasierte Schlüssel und benutzerdefinierte Identitätsbestätigungen verwenden möchten, sollten Sie die folgenden Optionen in Betracht ziehen:
Installieren Sie wertbasierte Schlüssel, um Automatisierung in umfangreichen ATOs zu erkennen.
Informationen zum Installieren wertungsbasierter Schlüssel auf Webseiten finden Sie unter Punktzahlbasierte Schlüssel auf Webseiten installieren.
Informationen zum Installieren wertbasierter Schlüssel in mobilen Apps finden Sie unter reCAPTCHA Enterprise in Android-Apps einbinden oder reCAPTCHA Enterprise in iOS-Apps einbinden.
Verwenden Sie MFA, um die Kontoinhaberschaft bei der Anmeldung oder für vertrauliche Aktionen zu bestätigen.
Weitere Informationen findest du unter Multi-Faktor-Authentifizierung konfigurieren.
Je nach Anwendungsfall können Sie MFA allein oder mit ergebnisbasierten Schlüsseln verwenden. Sie können MFA-Identitätsbestätigungen beispielsweise nur für Werte unter einem bestimmten Grenzwert verwenden, um Reibungspunkte zu verringern.
Das folgende Beispiel zeigt, wie wertbasierte Schlüssel in das Anmeldeszenario eingebunden werden.
function submitForm() {
grecaptcha.enterprise.ready(function() {
grecaptcha.enterprise.execute(
'reCAPTCHA_site_key', {action: 'account_login'}).then(function(token) {
document.getElementById("token").value = token;
document.getElementByID("loginForm").submit();
});
});
}
<form id="loginForm" action="?" method="POST"> Username: <input type="text" name="username"/><br/> Password: <input type="password" name="password"/><br/> <input type="hidden" id="token" name="recaptcha_token"/> <button onclick="submitForm()">Login</button> </form>
<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
Sie können mit diesem Code in JSFiddle experimentieren. Klicken Sie dazu in der oberen rechten Ecke des Codefensters auf das Symbol <>.
<html>
<head>
<title>Account Login - Score</title>
<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
<script>
function submitForm() {
grecaptcha.enterprise.ready(function() {
grecaptcha.enterprise.execute(
'reCAPTCHA_site_key', {action: 'account_login'}).then(function(token) {
document.getElementById("token").value = token;
document.getElementByID("loginForm").submit();
});
});
}
</script>
</head>
<body>
<form id="loginForm" action="?" method="POST">
Username: <input type="text" name="username"/><br/>
Password: <input type="password" name="password"/><br/>
<input type="hidden" id="token" name="recaptcha_token"/>
<button onclick="submitForm()">Login</button>
</form>
</body>
</html>
Nächste Schritte
- Informationen zu anderen Schutzfunktionen für Konten finden Sie unter Schutzfunktionen für Nutzerkonten.