Interpretar avaliações de apps para dispositivos móveis

Nesta página, explicamos como interpretar uma pontuação para entender o nível de risco que as interações do usuário representam e tomar as medidas apropriadas em relação ao seu aplicativo para dispositivos móveis.

O reCAPTCHA Enterprise retorna uma pontuação para cada solicitação com base nas interações com o aplicativo para dispositivos móveis. Depois de receber a pontuação do reCAPTCHA Enterprise, você precisa interpretá-la e realizar ações adequadas para seu aplicativo para dispositivos móveis.

Antes de começar

Crie uma avaliação para seu aplicativo para dispositivos móveis.

Interpretar a avaliação

Depois que o back-end envia o token de resposta reCAPTCHA de um usuário para o reCAPTCHA Enterprise, você recebe uma avaliação como uma resposta JSON, conforme mostrado no exemplo a seguir.

Para interpretar uma avaliação, considere os seguintes parâmetros:

  • valid: indica se o token de resposta do usuário fornecido é válido. Quando valid = false, o motivo é especificado em invalidReason. valid = false também pode indicar que um usuário não conseguiu resolver um desafio ou que há uma incompatibilidade de sitekey.
  • invalidReason: motivo associado à resposta quando valid = false.
  • action: uma interação do usuário que acionou a verificação do reCAPTCHA Enterprise.
  • expectedAction: a ação esperada de um usuário especificado ao criar a avaliação.
  • score: nível de risco da interação do usuário.
  • reasons: mais informações sobre como o reCAPTCHA Enterprise interpretou a interação do usuário.

    Os códigos de motivo estão disponíveis após uma análise de segurança. Para pedir acesso a esses códigos, entre em contato com nossa equipe de vendas.

    {
     "event":{
        "expectedAction":"EXPECTED_ACTION",
        "hashedAccountId":"ACCOUNT_ID",
        "siteKey":"KEY_ID",
        "token":"TOKEN",
        "userAgent":"(USER-PROVIDED STRING)",
        "userIpAddress":"USER_PROVIDED_IP_ADDRESS"
     },
     "name":"ASSESSMENT_ID",
     "riskAnalysis":{
       "reasons":[],
       "score":"SCORE"
     },
     "tokenProperties":{
       "action":"USER_INTERACTION",
       "createTime":"TIMESTAMP",
       "hostname":"HOSTNAME",
       "invalidReason":"(ENUM)",
       "valid":(BOOLEAN)
     }
    }
    

Verificar ações

A resposta JSON contém o parâmetro action especificado para uma interação do usuário ao chamar execute() e o parâmetro expectedAction que você especificou ao criar a avaliação.

Verifique se action corresponde a expectedAction. Por exemplo, uma ação login deve ser retornada na sua página de Login. Se houver uma incompatibilidade, isso indica que um invasor está tentando falsificar ações. É possível realizar ações contra a interação do usuário, como adicionar outras verificações ou bloquear a interação para evitar atividades fraudulentas.

Interpretar pontuações

O sistema de pontuação do reCAPTCHA Enterprise é uma expansão das versões anteriores do reCAPTCHA para permitir uma maior granularidade nas respostas. O reCAPTCHA Enterprise tem 11 níveis para pontuações com valores que variam de 0,0 a 1,0. A pontuação 1,0 indica que a interação apresenta risco baixo e é muito legítima, enquanto 0,0 indica que a interação apresenta alto risco e pode ser fraudulenta. Dos 11 níveis, apenas os quatro níveis de pontuação a seguir estão disponíveis por padrão: 0,1, 0,3, 0,7 e 0,9.

Todos os 11 níveis de pontuação poderão ser acessados após uma análise de segurança. Para solicitar acesso a esses 11 níveis, entre em contato com nossa equipe de vendas.

O reCAPTCHA Enterprise aprende monitorando o tráfego real do seu aplicativo para dispositivos móveis. Portanto, as pontuações em um ambiente de preparo e em até sete dias após a implementação podem ser diferentes das pontuações de produção de longo prazo.

Como as chaves reCAPTCHA para aplicativos para dispositivos móveis não interrompem o fluxo do usuário, é possível primeiro executar o reCAPTCHA Enterprise sem tomar nenhuma medida e, em seguida, decidir os limites analisando o tráfego.

Com base na pontuação, é possível tomar uma medida apropriada no contexto do seu app para dispositivos móveis. Para proteger melhor seu aplicativo para dispositivos móveis, recomendamos que você realize a ação em segundo plano em vez de bloquear o tráfego.

A tabela a seguir lista algumas ações possíveis:

Caso de uso Ação
login Com pontuações baixas, exija MFA ou verificação de e-mail para evitar ataques de preenchimento de credenciais.
Social Limite as solicitações de amizade não respondidas de usuários abusivos e envie comentários de risco para a moderação.
ecommerce Coloque vendas reais à frente dos bots e identifique transações arriscadas.

Códigos de motivo

Os códigos de motivo estão disponíveis após uma análise de segurança. Para pedir acesso a esses códigos, entre em contato com nossa equipe de vendas.

Algumas pontuações podem ser retornadas com códigos de motivo que incluem informações extras sobre como o reCAPTCHA Enterprise interpretou as interações.

A tabela a seguir lista os códigos de motivo e as descrições deles:

Código de motivo Descrição
AUTOMATION A interação corresponde ao comportamento de um agente automatizado.
UNEXPECTED_ENVIRONMENT O evento originou-se de um ambiente ilegítimo.
TOO_MUCH_TRAFFIC O volume de tráfego da origem do evento é maior que o normal.
UNEXPECTED_USAGE_PATTERNS A interação com o site foi significativamente diferente dos padrões esperados.
LOW_CONFIDENCE_SCORE Não foi recebido tráfego suficiente para gerar uma análise de risco de qualidade.

A seguir

  • Para ajustar o modelo específico do site, envie os IDs de avaliação de volta ao Google para confirmar os verdadeiros positivos e verdadeiros negativos ou corrigir erros. Para mais detalhes, consulte Anotar avaliações.