Halaman ini diterjemahkan oleh Cloud Translation API.

Mendeteksi dan mencegah aktivitas penipuan terkait akun di aplikasi seluler

Dokumen ini menunjukkan cara menggunakan reCAPTCHA account defender untuk mendeteksi dan mencegah aktivitas penipuan terkait akun di aplikasi seluler.

reCAPTCHA membantu Anda melindungi tindakan penting, seperti login dan checkout. Namun, ada banyak bentuk penyalahgunaan akun yang halus yang dapat dideteksi dengan mengamati perilaku pengguna tertentu di aplikasi seluler selama jangka waktu tertentu. Pelindung akun reCAPTCHA membantu mengidentifikasi jenis penyalahgunaan halus ini dengan membuat model khusus situs untuk aplikasi seluler Anda guna mendeteksi tren perilaku yang mencurigakan atau perubahan aktivitas. Dengan menggunakan model khusus situs, reCAPTCHA account defender membantu Anda mendeteksi hal berikut:

Aktivitas yang mencurigakan
Akun dengan perilaku serupa
Permintaan yang berasal dari perangkat yang ditandai sebagai tepercaya untuk pengguna tertentu

Berdasarkan analisis reCAPTCHA Account Defender dan model khusus situs, Anda dapat melakukan tindakan berikut:

Membatasi atau menonaktifkan akun yang menipu.
Mencegah upaya pengambilalihan akun.
Memitigasi pengambilalihan akun yang berhasil.
Berikan akses hanya untuk permintaan yang berasal dari akun pengguna yang sah.
Mengurangi hambatan bagi pengguna yang login dari salah satu perangkat tepercaya mereka.

Sebelum memulai

Pelindung akun reCAPTCHA untuk aplikasi seluler dapat diakses setelah memicu peninjauan keamanan otomatis dengan menambahkan akun penagihan ke project Anda. Tambahkan akun penagihan ke project Anda untuk mengaktifkan situs Anda ke fitur ini.
Siapkan lingkungan Anda untuk reCAPTCHA.
Buat kunci berbasis skor.

Mengonfigurasi aplikasi seluler untuk reCAPTCHA account defender

Pelindung akun reCAPTCHA memerlukan pemahaman yang komprehensif tentang aktivitas akun untuk memungkinkan deteksi yang efektif. Untuk mulai memasukkan aktivitas terkait akun ke reCAPTCHA account defender, dan untuk membuat serta meningkatkan model khusus situs, lakukan tindakan berikut:

Mengintegrasikan reCAPTCHA dengan aplikasi seluler Anda.
- Untuk aplikasi Android, lihat Mengintegrasikan reCAPTCHA dengan aplikasi Android.
- Untuk aplikasi iOS, lihat Mengintegrasikan reCAPTCHA dengan aplikasi iOS.
Laporkan tindakan pengguna penting.
Menilai peristiwa pengguna yang penting.
Anotasikan peristiwa pengguna untuk menyesuaikan model khusus situs Anda.

Membuat laporan tentang tindakan pengguna yang penting

Untuk mendeteksi pola aktivitas yang mencurigakan dan membangun pemahaman yang lebih baik tentang pola aktivitas umum di situs Anda, reCAPTCHA account defender memerlukan informasi tentang tindakan pengguna yang penting. Untuk setiap tindakan aplikasi Anda yang dilindungi menggunakan reCAPTCHA, panggil metode execute() dengan RecaptchaAction. Untuk informasi selengkapnya tentang execute() dan RecaptchaAction, lihat referensi berikut:

Android: execute() dan RecaptchaAction.
iOS: execute() dan RecaptchaAction.

reCAPTCHA menyediakan kumpulan tindakan bawaan, dan jika perlu, Anda dapat membuat tindakan kustom.

Tabel berikut mencantumkan nama tindakan yang dapat Anda gunakan saat melaporkan tindakan pengguna yang penting.

Catatan: Nama tindakan tidak harus terbatas pada daftar berikut. Anda dapat menambahkan nama tindakan yang bermakna dan mendeskripsikan tindakan pengguna seperti PASSWORD_RESET atau ACCOUNT_UPDATE menggunakan custom() for Android atau custom() for iOS.

Nama tindakan	Peristiwa yang dimulai pengguna atau tindakan pengguna
`LOGIN`	Login ke aplikasi seluler.
`SIGNUP`	Daftar di aplikasi seluler.

Menilai peristiwa pengguna penting

Saat Anda memanggil execute() pada tindakan pengguna, token akan dibuat. Untuk peristiwa pengguna kritis, seperti login yang berhasil dan gagal, pendaftaran, dan tindakan pengguna yang login, buat penilaian untuk menilai hasil panggilan execute(). Penilaian ini memberikan verdict risiko, yang dapat Anda gunakan untuk membuat keputusan tentang cara menangani aktivitas yang berpotensi menipu. Beberapa tindakan yang dapat Anda lakukan adalah memblokir permintaan yang mencurigakan, menantang login berisiko, dan menyelidiki akun yang menarik.

Pelindung akun reCAPTCHA mengharuskan Anda memberikan ID akun yang stabil untuk mengatribusikan aktivitas pengguna – seperti permintaan login, permintaan login, dan permintaan pendaftaran – ke akun tertentu. Hal ini membantu reCAPTCHA account defender memahami pola aktivitas pengguna dan membuat model aktivitas untuk setiap akun guna mendeteksi traffic yang tidak wajar dan menyeleweng dengan lebih baik.

Pilih ID akun accountId yang stabil dan tidak sering diubah oleh pengguna dan berikan ke penilaian dalam metode projects.assessments.create. ID akun stabil ini harus memiliki nilai yang sama untuk semua peristiwa yang terkait dengan pengguna yang sama. Anda dapat memberikan hal berikut sebagai ID akun:

ID pengguna

Jika setiap akun dapat dikaitkan secara unik dengan nama pengguna, alamat email, atau nomor telepon yang stabil, Anda dapat menggunakannya sebagai accountId. Saat Anda memberikan ID lintas situs tersebut (ID yang dapat digunakan kembali di seluruh situs), reCAPTCHA menggunakan informasi ini untuk meningkatkan perlindungan bagi akun pengguna Anda berdasarkan model lintas situs dengan menandai ID akun yang melakukan penyalahgunaan dan menggunakan pengetahuan tentang pola penyalahgunaan lintas situs yang terkait dengan ID ini.

Atau, jika Anda memiliki User-ID internal yang dikaitkan secara unik dengan setiap akun, Anda dapat memberikannya sebagai accountId.

Di-hash atau dienkripsi

Jika tidak memiliki ID pengguna internal yang secara unik dikaitkan dengan setiap akun, Anda dapat mengubah ID stabil menjadi ID akun spesifik per situs yang buram. ID ini masih diperlukan agar reCAPTCHA account defender dapat memahami pola aktivitas pengguna dan mendeteksi perilaku yang tidak normal, tetapi tidak dibagikan di situs lain.

Pilih ID akun yang stabil dan buat buram sebelum dikirim ke reCAPTCHA dengan menggunakan enkripsi atau hashing:

enkripsi (direkomendasikan): mengenkripsi ID akun menggunakan metode enkripsi deterministik yang menghasilkan ciphertext yang stabil. Untuk petunjuk selengkapnya, lihat mengenkripsi data secara deterministik. Jika memilih enkripsi simetris daripada hashing, Anda tidak perlu menyimpan pemetaan antara ID pengguna dan ID pengguna buram yang sesuai. Dekripsi ID buram yang ditampilkan oleh reCAPTCHA untuk mengubahnya menjadi ID pengguna.
hashing: sebaiknya lakukan hashing pada ID akun menggunakan metode SHA256-HMAC dengan salt kustom pilihan Anda. Karena hash hanya bersifat satu arah, Anda perlu mempertahankan pemetaan antara hash yang dihasilkan dan ID pengguna agar dapat memetakan ID akun yang di-hash yang ditampilkan kembali ke akun asli.

Selain memberikan ID akun yang stabil untuk semua permintaan terkait akun, Anda dapat memberikan ID akun tambahan, yang mungkin tidak stabil, untuk beberapa permintaan tertentu. ID akun khusus konteks yang disediakan selain accountId membantu reCAPTCHA account defender lebih memahami aktivitas pengguna dan mendeteksi upaya pengambilalihan akun untuk menjaga keamanan akun pengguna Anda. Saat Anda memberikan ID tambahan, reCAPTCHA menggunakan informasi ini untuk meningkatkan perlindungan bagi akun pengguna Anda berdasarkan model lintas situs dengan menandai ID akun yang melanggar dan menggunakan pengetahuan tentang pola penyalahgunaan lintas situs yang terkait dengan ID ini. Misalnya, Anda dapat memberikan hal berikut:

Nama pengguna, alamat email, atau nomor telepon yang digunakan sebagai nama sebutan login untuk permintaan login
Alamat email atau nomor telepon yang diverifikasi untuk permintaan autentikasi multi-faktor
Alamat email atau nomor telepon (utama atau sekunder) yang diberikan oleh pengguna selama permintaan pembaruan akun
Alamat email dan nomor telepon yang diberikan oleh pengguna selama permintaan pendaftaran

Tambahkan ID akun stabil yang dipilih ke parameter accountId dalam metode projects.assessments.create untuk semua permintaan terkait akun. Secara opsional, berikan ID akun tambahan untuk permintaan yang relevan menggunakan kolom userIds dalam penilaian.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

PROJECT_ID: project ID Google Cloud Anda
TOKEN: token yang ditampilkan dari panggilan execute()
KEY_ID: Kunci reCAPTCHA yang terkait dengan aplikasi
ACCOUNT_ID: ID yang secara unik dikaitkan dengan akun pengguna untuk akun pengguna ke aplikasi Anda
EMAIL_ADDRESS: Opsional. Alamat email yang terkait dengan permintaan ini, jika ada
PHONE_NUMBER: Opsional. Nomor telepon yang terkait dengan permintaan ini, jika ada
USERNAME: Opsional. Nama pengguna yang terkait dengan permintaan ini, jika ada

Metode HTTP dan URL:

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments

Isi JSON permintaan:

{
  "event": {
    "token": "TOKEN",
    "siteKey": "KEY_ID",
    "userInfo": {
      "accountId": "ACCOUNT_ID",
      "userIds": [
        {
          "email": "EMAIL_ADDRESS"
        },
        {
          "phoneNumber": "PHONE_NUMBER"
        },
        {
          "username": "USERNAME"
        }
      ]
    }
  }
}

Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

curl

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments"

PowerShell

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:

{
  "tokenProperties": {
    "valid": true,
    "androidPackageName": "com.example.app" or "iosBundleId": "com.example.app",
    "action": "login",
    "createTime": "2019-03-28T12:24:17.894Z"
   },
  "riskAnalysis": {
    "score": 0.6,
  },
 "event": {
    "token": "TOKEN",
    "siteKey": "KEY",
    "userInfo": {
      "accountId": "ACCOUNT_ID"
    }
  },
  "name": "projects/PROJECT_NUMBER/assessments/b6ac310000000000",
  "accountDefenderAssessment": {
    "labels": ["SUSPICIOUS_LOGIN_ACTIVITY"]
  }
}

Catatan: Jika sudah menggunakan parameter hashedAccountId lama untuk memberikan ID akun yang stabil ke metode projects.assessments.create, Anda dapat terus melakukannya. Namun, integrasi baru harus menggunakan parameter accountId, karena hashedAccountId tidak digunakan lagi.

Contoh kode

Java

Untuk melakukan autentikasi ke reCAPTCHA, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.


import com.google.cloud.recaptchaenterprise.v1.RecaptchaEnterpriseServiceClient;
import com.google.protobuf.ByteString;
import com.google.recaptchaenterprise.v1.AccountDefenderAssessment.AccountDefenderLabel;
import com.google.recaptchaenterprise.v1.Assessment;
import com.google.recaptchaenterprise.v1.CreateAssessmentRequest;
import com.google.recaptchaenterprise.v1.Event;
import com.google.recaptchaenterprise.v1.ProjectName;
import com.google.recaptchaenterprise.v1.RiskAnalysis.ClassificationReason;
import com.google.recaptchaenterprise.v1.TokenProperties;
import com.google.recaptchaenterprise.v1.UserId;
import com.google.recaptchaenterprise.v1.UserInfo;
import java.io.IOException;
import java.nio.charset.StandardCharsets;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.util.List;
import java.util.UUID;
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;

public class AccountDefenderAssessment {

  public static void main(String[] args)
      throws IOException, NoSuchAlgorithmException, InvalidKeyException {
    // TODO(developer): Replace these variables before running the sample.
    // projectId: Google Cloud Project ID
    String projectId = "project-id";

    // recaptchaSiteKey: Site key obtained by registering a domain/app to use recaptcha
    // services.
    String recaptchaSiteKey = "recaptcha-site-key";

    // token: The token obtained from the client on passing the recaptchaSiteKey.
    // To get the token, integrate the recaptchaSiteKey with frontend. See,
    // https://cloud.google.com/recaptcha-enterprise/docs/instrument-web-pages#frontend_integration_score
    String token = "recaptcha-token";

    // recaptchaAction: The action name corresponding to the token.
    String recaptchaAction = "recaptcha-action";

    // Unique ID of the user, such as email, customer ID, etc.
    String accountId = "default" + UUID.randomUUID().toString().split("-")[0];

    // User phone number
    String phoneNumber = "555-987-XXXX";

    // User email address
    String emailAddress = "john.doe@example.com";

    accountDefenderAssessment(projectId, recaptchaSiteKey, token, recaptchaAction, accountId, phoneNumber, emailAddress);
  }

  /**
   * This assessment detects account takeovers. See,
   * https://cloud.google.com/recaptcha-enterprise/docs/account-takeovers The input is the hashed
   * account id. Result tells if the action represents an account takeover. You can optionally
   * trigger a Multi-Factor Authentication based on the result.
   */
  public static void accountDefenderAssessment(
      String projectId,
      String recaptchaSiteKey,
      String token,
      String recaptchaAction,
      String accountId,
      String phoneNumber,
      String emailAddress)
      throws IOException {
    try (RecaptchaEnterpriseServiceClient client = RecaptchaEnterpriseServiceClient.create()) {

      // Set the properties of the event to be tracked.
      Event.Builder eventBuilder =
          Event.newBuilder()
              .setSiteKey(recaptchaSiteKey)
              .setToken(token);

      // Set the account id, email address and phone number (of the user).
      eventBuilder.setUserInfo(
        UserInfo.newBuilder()
          .setAccountId(accountId)
          .addUserIds(UserId.newBuilder().setEmail(emailAddress))
          .addUserIds(UserId.newBuilder().setPhoneNumber(phoneNumber)));

      Event event = eventBuilder.build();

      // Build the assessment request.
      CreateAssessmentRequest createAssessmentRequest =
          CreateAssessmentRequest.newBuilder()
              .setParent(ProjectName.of(projectId).toString())
              .setAssessment(Assessment.newBuilder().setEvent(event).build())
              .build();

      Assessment response = client.createAssessment(createAssessmentRequest);

      // Check integrity of the response token.
      if (!checkTokenIntegrity(response.getTokenProperties(), recaptchaAction)) {
        return;
      }

      // Get the reason(s) and the reCAPTCHA risk score.
      // For more information on interpreting the assessment,
      // see: https://cloud.google.com/recaptcha-enterprise/docs/interpret-assessment
      for (ClassificationReason reason : response.getRiskAnalysis().getReasonsList()) {
        System.out.println(reason);
      }
      float recaptchaScore = response.getRiskAnalysis().getScore();
      System.out.println("The reCAPTCHA score is: " + recaptchaScore);
      String assessmentName = response.getName();
      System.out.println(
          "Assessment name: " + assessmentName.substring(assessmentName.lastIndexOf("/") + 1));

      // Get the Account Defender result.
      com.google.recaptchaenterprise.v1.AccountDefenderAssessment accountDefenderAssessment =
          response.getAccountDefenderAssessment();
      System.out.println(accountDefenderAssessment);

      // Get Account Defender label.
      List<AccountDefenderLabel> defenderResult =
          response.getAccountDefenderAssessment().getLabelsList();
      // Based on the result, can you choose next steps.
      // If the 'defenderResult' field is empty, it indicates that Account Defender did not have
      // anything to add to the score.
      // Few result labels: ACCOUNT_DEFENDER_LABEL_UNSPECIFIED, PROFILE_MATCH,
      // SUSPICIOUS_LOGIN_ACTIVITY, SUSPICIOUS_ACCOUNT_CREATION, RELATED_ACCOUNTS_NUMBER_HIGH.
      // For more information on interpreting the assessment, see:
      // https://cloud.google.com/recaptcha-enterprise/docs/account-defender#interpret-assessment-details
      System.out.println("Account Defender Assessment Result: " + defenderResult);
    }
  }

  private static boolean checkTokenIntegrity(
      TokenProperties tokenProperties, String recaptchaAction) {
    // Check if the token is valid.
    if (!tokenProperties.getValid()) {
      System.out.println(
          "The Account Defender Assessment call failed because the token was: "
              + tokenProperties.getInvalidReason().name());
      return false;
    }

    // Check if the expected action was executed.
    if (!tokenProperties.getAction().equals(recaptchaAction)) {
      System.out.printf(
          "The action attribute in the reCAPTCHA tag '%s' does not match "
              + "the action '%s' you are expecting to score",
          tokenProperties.getAction(), recaptchaAction);
      return false;
    }
    return true;
  }
}

Menafsirkan verdict risiko peristiwa pengguna penting

Saat Anda membuat penilaian dengan Account Defender diaktifkan, Account Defender akan menampilkan accountDefenderAssessment sebagai bagian dari respons penilaian. Nilai accountDefenderAssessment membantu Anda menilai apakah aktivitas pengguna sah atau menipu. Fungsi ini juga menampilkan ID penilaian yang perlu Anda gunakan saat menganotasi peristiwa pengguna.

Contoh berikut adalah contoh respons JSON:

{
  "tokenProperties": {
    "valid": true,
    "androidPackageName": "com.example.app" or "iosBundleId": "com.example.app",
    "action": "login",
    "createTime": "2019-03-28T12:24:17.894Z"
   },
  "riskAnalysis": {
    "score": 0.6,
  },
 "event": {
    "token": "TOKEN",
    "siteKey": "KEY_ID",
    "expectedAction": "USER_ACTION"
  },
  "name": "projects/PROJECT_ID/assessments/b6ac310000000000X",
  "accountDefenderAssessment": {
    labels: ["SUSPICIOUS_LOGIN_ACTIVITY"]
  }
}

Kolom accountDefenderAssessment dapat memiliki salah satu nilai berikut:

Nilai Deskripsi

SUSPICIOUS_LOGIN_ACTIVITY Menunjukkan bahwa permintaan tersebut berisiko tinggi terhadap stuffing kredensial atau pengambilalihan akun.

SUSPICIOUS_ACCOUNT_CREATION Menunjukkan bahwa permintaan tersebut memiliki risiko tinggi terhadap pembuatan akun yang melanggar.

Nilai	Deskripsi
`SUSPICIOUS_LOGIN_ACTIVITY`	Menunjukkan bahwa permintaan tersebut berisiko tinggi terhadap stuffing kredensial atau pengambilalihan akun.
`SUSPICIOUS_ACCOUNT_CREATION`	Menunjukkan bahwa permintaan tersebut memiliki risiko tinggi terhadap pembuatan akun yang melanggar.
`PROFILE_MATCH`	Menunjukkan bahwa atribut pengguna cocok dengan atribut yang telah dilihat sebelumnya untuk pengguna tertentu ini. Nilai ini adalah indikator bahwa pengguna ini berada di perangkat tepercaya yang digunakan sebelumnya untuk mengakses aplikasi seluler Anda. `PROFILE_MATCH` hanya ditampilkan dalam skenario berikut: Anda menggunakan Autentikasi multi-faktor(MFA) atau Autentikasi 2 faktor(2FA) dan Account Defender reCAPTCHA menandai profil pengguna sebagai tepercaya setelah pengguna lulus verifikasi MFA atau 2FA. Anda menganotasi penilaian sebagai `LEGITIMATE` atau `PASSED_TWO_FACTOR` dan reCAPTCHA account defender menandai profil pengguna yang sesuai sebagai tepercaya.

PROFILE_MATCH

Menunjukkan bahwa atribut pengguna cocok dengan atribut yang telah dilihat sebelumnya untuk pengguna tertentu ini. Nilai ini adalah indikator bahwa pengguna ini berada di perangkat tepercaya yang digunakan sebelumnya untuk mengakses aplikasi seluler Anda.

PROFILE_MATCH hanya ditampilkan dalam skenario berikut:

Anda menggunakan Autentikasi multi-faktor(MFA) atau Autentikasi 2 faktor(2FA) dan Account Defender reCAPTCHA menandai profil pengguna sebagai tepercaya setelah pengguna lulus verifikasi MFA atau 2FA.
Anda menganotasi penilaian sebagai LEGITIMATE atau PASSED_TWO_FACTOR dan reCAPTCHA account defender menandai profil pengguna yang sesuai sebagai tepercaya.

Catatan: Jika kolom accountDefenderAssessment kosong, hal ini menunjukkan bahwa reCAPTCHA account defender tidak memiliki apa pun untuk ditambahkan ke skor.

Menambahkan anotasi pada peristiwa untuk menyesuaikan model spesifik situs

Untuk memberikan informasi lebih lanjut kepada reCAPTCHA account defender dan meningkatkan model deteksi khusus situs, Anda harus menganotasi peristiwa yang dinilai dengan membuat penilaian.

Anda menganotasi penilaian dengan mengirim permintaan ke metode projects.assessments.annotate dengan ID penilaian. Dalam isi permintaan tersebut, Anda menyertakan label yang memberikan informasi tambahan tentang peristiwa yang dijelaskan dalam penilaian.

Untuk menganotasi penilaian, lakukan hal berikut:

Tentukan informasi dan label yang akan ditambahkan dalam isi JSON permintaan, bergantung pada kasus penggunaan Anda.

Tabel berikut mencantumkan label dan nilai yang dapat Anda gunakan untuk menganotasi peristiwa:

Label Deskripsi Contoh permintaan

Label	Deskripsi	Contoh permintaan
`reasons`	Wajib. Label untuk mendukung penilaian Anda. Berikan detail peristiwa real-time di label `reasons` dalam beberapa detik atau menit setelah peristiwa karena hal ini memengaruhi deteksi real-time. Untuk mengetahui daftar nilai yang memungkinkan, lihat nilai alasan. Contoh: Untuk mendeteksi pengambilalihan akun, anotasikan apakah sandi yang dimasukkan sudah benar dengan nilai `CORRECT_PASSWORD` atau `INCORRECT_PASSWORD`. Jika men-deploy MFA Anda sendiri, Anda dapat menambahkan nilai berikut: `INITIATED_TWO_FACTOR`, dan `PASSED_TWO_FACTOR` atau `FAILED_TWO_FACTOR`.	{ "reasons": ["INCORRECT_PASSWORD"] }
`annotation`	Opsional. Label untuk menunjukkan legitimasi penilaian. Berikan fakta tentang peristiwa login dan pendaftaran untuk memvalidasi atau memperbaiki penilaian risiko Anda di label `annotation`. Kemungkinan nilai: `LEGITIMATE` atau `FRAUDULENT`. Anda dapat mengirimkan informasi ini kapan saja atau sebagai bagian dari tugas batch. Namun, sebaiknya kirim informasi ini dalam beberapa detik atau menit setelah peristiwa karena informasi ini memengaruhi deteksi real-time.	{ "annotation": "LEGITIMATE" }
`accountId`	Opsional. Label untuk mengaitkan ID akun dengan peristiwa. Jika Anda membuat penilaian tanpa ID akun, gunakan label ini untuk memberikan ID akun peristiwa setiap kali tersedia.	{ "accountId": "`ACCOUNT_ID`" }

reasons

Wajib. Label untuk mendukung penilaian Anda.

Berikan detail peristiwa real-time di label reasons dalam beberapa detik atau menit setelah peristiwa karena hal ini memengaruhi deteksi real-time.

Untuk mengetahui daftar nilai yang memungkinkan, lihat nilai alasan.

Contoh: Untuk mendeteksi pengambilalihan akun, anotasikan apakah sandi yang dimasukkan sudah benar dengan nilai CORRECT_PASSWORD atau INCORRECT_PASSWORD. Jika men-deploy MFA Anda sendiri, Anda dapat menambahkan nilai berikut: INITIATED_TWO_FACTOR, dan PASSED_TWO_FACTOR atau FAILED_TWO_FACTOR.

      {
      "reasons": ["INCORRECT_PASSWORD"]
      }

annotation

Opsional. Label untuk menunjukkan legitimasi penilaian.

Berikan fakta tentang peristiwa login dan pendaftaran untuk memvalidasi atau memperbaiki penilaian risiko Anda di label annotation.

Kemungkinan nilai: LEGITIMATE atau FRAUDULENT.

Anda dapat mengirimkan informasi ini kapan saja atau sebagai bagian dari tugas batch. Namun, sebaiknya kirim informasi ini dalam beberapa detik atau menit setelah peristiwa karena informasi ini memengaruhi deteksi real-time.

      {
       "annotation": "LEGITIMATE"
      }

accountId

Opsional. Label untuk mengaitkan ID akun dengan peristiwa.

Jika Anda membuat penilaian tanpa ID akun, gunakan label ini untuk memberikan ID akun peristiwa setiap kali tersedia.

  {
   "accountId": "ACCOUNT_ID"
  }

Buat permintaan anotasi dengan label yang sesuai.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
- ASSESSMENT_ID: Nilai kolom name yang ditampilkan dari panggilan projects.assessments.create.
- ANNOTATION: Opsional. Label untuk menunjukkan apakah penilaian tersebut sah atau menipu.
- REASONS: Opsional. Alasan yang mendukung anotasi Anda. Untuk mengetahui daftar kemungkinan nilai, lihat nilai alasan.
- ACCOUNT_ID: Opsional. ID yang secara unik terkait dengan akun pengguna di aplikasi Anda.
Untuk informasi selengkapnya, lihat label untuk anotasi.

Metode HTTP dan URL:
```
POST https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate
```
Isi JSON permintaan:
```
{
  "annotation": ANNOTATION,
  "reasons": REASONS,
  "accountId": ACCOUNT_ID
}
```
Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:
curl

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate"
PowerShell

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate" | Select-Object -Expand Content
Anda akan menerima kode status yang berhasil (2xx) dan respons kosong.

Contoh kode

Java

Untuk melakukan autentikasi ke reCAPTCHA, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.


import com.google.cloud.recaptchaenterprise.v1.RecaptchaEnterpriseServiceClient;
import com.google.protobuf.ByteString;
import com.google.recaptchaenterprise.v1.AnnotateAssessmentRequest;
import com.google.recaptchaenterprise.v1.AnnotateAssessmentRequest.Annotation;
import com.google.recaptchaenterprise.v1.AnnotateAssessmentRequest.Reason;
import com.google.recaptchaenterprise.v1.AnnotateAssessmentResponse;
import com.google.recaptchaenterprise.v1.AssessmentName;
import java.io.IOException;
import java.security.NoSuchAlgorithmException;
import java.util.UUID;

public class AnnotateAccountDefenderAssessment {

  public static void main(String[] args) throws IOException, NoSuchAlgorithmException {
    // TODO(developer): Replace these variables before running the sample.
    // projectID: GCloud Project id.
    String projectID = "project-id";

    // assessmentId: Value of the 'name' field returned from the CreateAssessment call.
    String assessmentId = "account-defender-assessment-id";

    // accountId: Set the accountId corresponding to the assessment id.
    String accountId = "default" + UUID.randomUUID().toString().split("-")[0];

    annotateAssessment(projectID, assessmentId, accountId);
  }

  /**
   * Pre-requisite: Create an assessment before annotating. Annotate an assessment to provide
   * feedback on the correctness of recaptcha prediction.
   */
  public static void annotateAssessment(
      String projectID, String assessmentId, String accountId) throws IOException {

    try (RecaptchaEnterpriseServiceClient client = RecaptchaEnterpriseServiceClient.create()) {
      // Build the annotation request.
      // For more info on when/how to annotate, see:
      // https://cloud.google.com/recaptcha-enterprise/docs/annotate-assessment#when_to_annotate
      AnnotateAssessmentRequest annotateAssessmentRequest =
          AnnotateAssessmentRequest.newBuilder()
              .setName(AssessmentName.of(projectID, assessmentId).toString())
              .setAnnotation(Annotation.LEGITIMATE)
              .addReasons(Reason.PASSED_TWO_FACTOR)
              .setAccountId(accountId)
              .build();

      // Empty response is sent back.
      AnnotateAssessmentResponse response = client.annotateAssessment(annotateAssessmentRequest);
      System.out.println("Annotated response sent successfully ! " + response);
    }
  }
}

Mengaktifkan reCAPTCHA account defender

Setelah mengonfigurasi aplikasi seluler untuk reCAPTCHA account defender, Anda dapat mengaktifkan reCAPTCHA account defender.

Di konsol Google Cloud, buka halaman reCAPTCHA.

Buka reCAPTCHA
Pastikan nama project Anda muncul di pemilih resource di bagian atas halaman.

Jika tidak melihat nama project, klik pemilih resource, lalu pilih project Anda.
Klik Setelan.
Di panel Account defender, klik Configure.
Dalam dialog Configure account defender, klik Enable, lalu klik Save.

Catatan: Jika Anda tidak dapat mengaktifkan fitur ini dari konsol Google Cloud, tambahkan akun penagihan ke project Anda untuk memicu peninjauan keamanan otomatis.

Mungkin perlu waktu beberapa jam agar pengaktifan reCAPTCHA account defender diterapkan ke sistem kami. Setelah pengaktifan fitur disebarkan ke sistem kami, Anda akan mulai menerima respons terkait pembela akun sebagai bagian dari penilaian.

Langkah selanjutnya

Untuk mempelajari fitur perlindungan akun lainnya, lihat Fitur perlindungan akun pengguna.