Interpréter une évaluation

Cette page explique comment interpréter un score afin de comprendre le niveau de risque des interactions de l'utilisateur et d'effectuer les actions appropriées pour votre site. reCAPTCHA Enterprise renvoie un score pour chaque requête en fonction des interactions.{101 }sur votre site, quel que soit son type de clé. Après avoir obtenu le score de reCAPTCHA Enterprise, vous devez l'interpréter et prendre les mesures appropriées pour votre site.

Avant de commencer

Créez une évaluation.

Interpréter l'évaluation

Une fois que le backend a envoyé le jeton de réponse reCAPTCHA d'un utilisateur à reCAPTCHA Enterprise, vous recevez une évaluation sous forme de réponse JSON, comme illustré dans l'exemple suivant.

Pour interpréter une évaluation, tenez compte des paramètres suivants:

  • action: interaction d'un utilisateur ayant déclenché la validation reCAPTCHA Enterprise.
  • expectedAction: action attendue d'un utilisateur que vous avez spécifié lors de la création de l'évaluation.
  • score: niveau de risque représenté par l'interaction de l'utilisateur.
  • reasons: informations supplémentaires sur la façon dont reCAPTCHA Enterprise a interprété l'interaction de l'utilisateur.

v1

{
 "event":{
    "expectedAction":"EXPECTED_ACTION",
    "hashedAccountId":"ACCOUNT_ID",
    "siteKey":"SITE_KEY",
    "token":"TOKEN",
    "userAgent":"(USER-PROVIDED STRING)",
    "userIpAddress":"USER_PROVIDED_IP_ADDRESS"
 },
 "name":"ASSESSMENT_ID",
   "riskAnalysis":{
    "reasons":[],
    "score":"SCORE
 },
 "tokenProperties":{
    "action":"USER_INTERACTION",
    "createTime":"TIMESTAMP",
    "hostname":"HOSTNAME",
    "invalidReason":"(ENUM)",
    "valid":(BOOLEAN)
 }
}

v1beta1

{
 "event":{
    "expectedAction":"EXPECTED_ACTION",
    "hashedAccountId":"ACCOUNT_ID",
    "siteKey":"SITE_KEY",
    "token":"TOKEN",
    "userAgent":"(USER-PROVIDED STRING)",
    "userIpAddress":"USER_PROVIDED_IP_ADDRESS"
 },
 "name":"ASSESSMENT_ID",
 "reasons":[],
 "score":"SCORE",
 
 "tokenProperties":{
    "action":"USER_INTERACTION",
    "createTime":"TIMESTAMP",
    "hostname":"HOSTNAME",
    "invalidReason":"(ENUM)",
    "valid":(BOOLEAN)
 }
}

Vérifier les actions

La réponse JSON contient le paramètre action que vous avez spécifié pour une interaction utilisateur lors de l'appel de execute() et du paramètre expectedAction que vous avez spécifié lors de la création de l'évaluation.

Vérifiez que action correspond à expectedAction. Par exemple, une action login doit être renvoyée sur votre page login. En cas d'incohérence, cela signifie qu'un pirate tente de falsifier les actions. Vous pouvez prendre des mesures contre l'interaction de l'utilisateur, par exemple en ajoutant des vérifications supplémentaires ou en bloquant l'interaction pour éviter toute activité frauduleuse.

Interpréter les scores

Le système de notation de reCAPTCHA Enterprise est une extension des versions précédentes de reCAPTCHA, qui offre une plus grande précision dans les réponses. reCAPTCHA Enterprise possède 11 niveaux pour les scores dont les valeurs sont comprises entre 0,0 et 1,0. Le score 1.0 indique que l'interaction présente un risque faible et qu'il est très légitime, tandis que la valeur 0,0 indique que l'interaction présente un risque élevé et qu'elle peut être frauduleuse. Sur les 11 niveaux, seuls les quatre niveaux de score suivants sont disponibles par défaut: 0,1, 0,3, 0,7 et 0,9.

reCAPTCHA Enterprise apprend en surveillant le trafic réel sur votre site. Par conséquent, les scores dans un environnement de préproduction et sept jours après la mise en œuvre peuvent différer des scores de production à long terme.

Étant donné que les clés de site basées sur le score n'interrompent pas le parcours utilisateur, vous pouvez d'abord exécuter reCAPTCHA Enterprise sans prendre de mesure, puis décider des seuils en observant le trafic.

En fonction du score, vous pouvez prendre les mesures appropriées dans le contexte de votre site. Pour améliorer la protection de votre site, nous vous recommandons d'effectuer l'action en arrière-plan au lieu de bloquer le trafic.

Le tableau suivant répertorie certaines des actions que vous pouvez effectuer:

Cas d'utilisation Action
Page d'accueil Affichez une vue cohérente de votre trafic sur la console d'administration lors du filtrage des scrapers.
login En cas de scores faibles, exiger la validation MFA ou par e-mail afin d'éviter les attaques de credential stuffing.
social Limitez les demandes d'amis sans réponse des utilisateurs mal intentionnés et envoyez les commentaires risqués à la modération.
E-commerce Faites passer vos ventes réelles avant les bots et identifiez les transactions risquées.

Comprendre les codes de motif

Certains scores peuvent être renvoyés avec des codes de motif fournissant des informations supplémentaires sur la manière dont reCAPTCHA Enterprise a interprété les interactions.

Le tableau suivant répertorie les codes de motif et leur description:

Code du motif Description
AUTOMATION L'interaction correspond au comportement d'un agent automatisé.
UNEXPECTED_ENVIRONMENT L'événement provient d'un environnement illégitime.
TOO_MUCH_TRAFFIC Le volume de trafic provenant de la source de l'événement est supérieur à la normale.
UNEXPECTED_USAGE_PATTERNS L'interaction avec votre site était très différente des modèles attendus.
LOW_CONFIDENCE_SCORE Ce site ne reçoit pas assez de trafic pour générer une analyse des risques.

Étape suivante

  • Pour ajuster le modèle spécifique à votre site, vous pouvez renvoyer les ID d'évaluation à Google pour confirmer les vrais positifs et les vrais négatifs, ou les bonnes erreurs. Pour en savoir plus, consultez la page Annoter une évaluation.