Ce document explique comment utiliser le protecteur de compte reCAPTCHA pour détecter et empêcher les activités frauduleuses liées aux comptes sur les sites Web.
reCAPTCHA vous aide à protéger les actions critiques, telles que la connexion et le règlement. Toutefois, de nombreuses formes subtiles d'utilisation abusive de comptes peuvent être détectées en observant le comportement d'un utilisateur spécifique sur un site Web sur une période donnée. Account Defender de reCAPTCHA vous aide à identifier ces types d'utilisations abusives subtiles en créant un modèle spécifique à votre site Web pour détecter une tendance de comportement suspect ou un changement d'activité. En utilisant le modèle spécifique à votre site, Account Defender de reCAPTCHA vous aide à détecter les éléments suivants:
- Activités suspectes
- Comptes avec des comportements similaires
- Requêtes provenant d'appareils marqués comme fiables pour des utilisateurs spécifiques
En fonction de l'analyse de l'outil Account Defender de reCAPTCHA et du modèle spécifique au site, vous pouvez effectuer les actions suivantes:
- Limiter ou désactiver les comptes frauduleux
- Empêchez les tentatives de piratage de compte.
- Limiter les piratages de compte réussis
- Accordez l'accès uniquement aux requêtes provenant de comptes utilisateur légitimes.
- Réduisez les frictions pour les utilisateurs qui se connectent depuis l'un de leurs appareils vérifiés.
Avant de commencer
Configurer vos pages Web pour l'outil Account Defender de reCAPTCHA
Pour détecter efficacement les activités suspectes, reCAPTCHA Account Defender nécessite une compréhension globale des activités du compte. Pour commencer à transmettre des activités liées au compte à l'outil Account Defender de reCAPTCHA, et pour créer et améliorer votre modèle spécifique à votre site, procédez comme suit:
- Activez la collecte des données de télémétrie horizontale.
- Rapport sur les actions critiques des utilisateurs
- Évaluez les événements utilisateur critiques.
- Annotez les événements utilisateur pour ajuster votre modèle spécifique au site.
Activer la collecte de données de télémétrie horizontale
Le défenseur de compte reCAPTCHA nécessite une vue complète des actions des utilisateurs, par exemple pour savoir s'ils sont connectés ou s'ils s'apprêtent à le faire. Pour activer la collecte passive des données de télémétrie horizontale par le défenseur de compte reCAPTCHA, chargez le script JavaScript reCAPTCHA avec la clé de site basée sur des scores que vous avez créée en arrière-plan de toutes les pages Web qui font partie de votre workflow utilisateur.
L'exemple suivant montre comment charger le script JavaScript reCAPTCHA dans une page Web.
<head> <script src="https://www.google.com/recaptcha/enterprise.js?render=KEY_ID"></script> .... </head>
Créer des rapports sur les actions critiques des utilisateurs
Pour détecter les modèles d'activité suspects et mieux comprendre les modèles d'activité typiques sur votre site, le défenseur de compte reCAPTCHA a besoin d'informations sur les actions utilisateur critiques. Par conséquent, signalez les actions utilisateur critiques sur les pages Web en appelant grecaptcha.enterprise.execute() sur ces actions utilisateur critiques.
Nous vous recommandons de signaler toutes les actions utilisateur critiques, car cela permet de collecter des signaux supplémentaires. Pour chaque action utilisateur que vous souhaitez signaler, remplacez la valeur du paramètre action
de grecaptcha.enterprise.execute()
par un nom d'action qui décrit l'action utilisateur.
Le tableau suivant liste les noms d'action que vous pouvez utiliser pour signaler les actions utilisateur critiques.
Nom de l'action | Événement ou action déclenchés par l'utilisateur |
---|---|
LOGIN |
Connectez-vous au site Web. |
REGISTRATION |
Inscription sur le site Web. |
SECURITY_QUESTION_CHANGE |
Demande de modification de la question de sécurité. |
PASSWORD_RESET |
Demande de réinitialisation du mot de passe. |
PHONE_NUMBER_UPDATE |
Demande de mise à jour du numéro de téléphone. |
EMAIL_UPDATE |
Requête de mise à jour de l'adresse e-mail. |
ACCOUNT_UPDATE |
Demande de mise à jour des informations liées au compte, telles que les coordonnées. |
TRIGGER_MFA |
Action qui déclenche un test MFA. |
REDEEM_CODE |
Demande d'utiliser un code. |
LIST_PAYMENT_METHODS |
Récupérez la liste des modes de paiement. |
L'exemple suivant montre comment appeler grecaptcha.enterprise.execute()
pour mettre à jour un numéro de téléphone:
<script> function onClick(e) { e.preventDefault(); grecaptcha.enterprise.ready(async () => { const token = await grecaptcha.enterprise.execute('KEY_ID', {action: 'PHONE_NUMBER_UPDATE'}); }); } </script>
Évaluer les événements utilisateur critiques
Lorsque vous appelez grecaptcha.enterprise.execute()
sur une action utilisateur, un jeton est généré. Pour les événements utilisateur critiques, tels que les connexions réussies et les échecs de connexion, les enregistrements et les actions des utilisateurs connectés, créez une évaluation pour évaluer les résultats de l'appel grecaptcha.enterprise.execute()
. L'évaluation vous fournit un avis sur le risque, que vous pouvez utiliser pour décider de la manière de gérer les activités potentiellement frauduleuses. Vous pouvez par exemple bloquer les requêtes suspectes, contester les connexions à risque et examiner les comptes qui vous intéressent.
Le défenseur de compte reCAPTCHA vous oblige à fournir un identifiant de compte stable pour attribuer l'activité des utilisateurs (telles que les requêtes de connexion, les requêtes de connexion et les requêtes d'inscription) à un compte spécifique. Cela aide le défenseur de compte reCAPTCHA à comprendre les tendances d'activité des utilisateurs et à créer un modèle d'activité pour chaque compte afin de mieux détecter le trafic anormal et abusif.
Choisissez un identifiant de compte accountId
stable qui n'est pas souvent modifié par l'utilisateur et fournissez-le à l'évaluation dans la méthode
projects.assessments.create
. Cet identifiant de compte stable doit avoir la même valeur pour tous les événements liés au même utilisateur. Vous pouvez fournir les éléments suivants comme identifiant de compte:
Identifiants utilisateur
Si chaque compte peut être associé de manière unique à un nom d'utilisateur, une adresse e-mail ou un numéro de téléphone stables, vous pouvez les utiliser comme accountId
. Lorsque vous fournissez de tels identifiants intersites (identifiants pouvant être réutilisés sur plusieurs sites), reCAPTCHA utilise ces informations pour améliorer la protection de vos comptes utilisateur en fonction de modèles intersites en signalant les identifiants de compte abusifs et en utilisant les connaissances sur les modèles d'abus intersites associés à ces identifiants.
Si vous disposez d'un ID utilisateur interne associé de manière unique à chaque compte, vous pouvez le fournir en tant que accountId
.
Hachées ou chiffrées
Si vous ne disposez pas d'un ID utilisateur interne associé de manière unique à chaque compte, vous pouvez transformer n'importe quel identifiant stable en identifiant de compte opaque propre au site. Cet identifiant est toujours nécessaire pour que le défenseur de compte reCAPTCHA comprenne les tendances d'activité des utilisateurs et détecte les comportements anormaux, mais il n'est pas partagé entre les autres sites.
Choisissez un identifiant de compte stable et rendez-le opaque avant de l'envoyer à reCAPTCHA à l'aide du chiffrement ou du hachage:
Chiffrement (recommandé): chiffrez l'identifiant de compte à l'aide d'une méthode de chiffrement déterministe qui produit un texte chiffré stable. Pour obtenir des instructions détaillées, consultez la section Chiffrer les données de manière déterministe. Lorsque vous choisissez le chiffrement symétrique plutôt que le hachage, vous n'avez pas besoin de conserver une mise en correspondance entre vos identifiants utilisateur et les identifiants utilisateur opaques correspondants. Déchiffrez les identifiants opaques renvoyés par reCAPTCHA pour les transformer en identifiant utilisateur.
Hachage: nous vous recommandons de hacher l'identifiant du compte à l'aide de la méthode SHA256-HMAC avec un sel personnalisé de votre choix. Étant donné que les hachages ne sont à sens unique que, vous devez conserver un mappage entre les hachages générés et vos identifiants utilisateur afin de pouvoir mapper l'identifiant de compte haché renvoyé aux comptes d'origine.
En plus de fournir un identifiant de compte stable pour toutes les requêtes liées au compte, vous pouvez fournir des identifiants de compte supplémentaires, potentiellement non stables, pour certaines requêtes spécifiques.
Les identifiants de compte spécifiques au contexte fournis en plus de accountId
aident l'outil Account Defender de reCAPTCHA à mieux comprendre l'activité des utilisateurs et à détecter les tentatives de prise de contrôle de compte afin de protéger vos comptes utilisateur. Lorsque vous fournissez des identifiants supplémentaires, reCAPTCHA utilise ces informations pour améliorer la protection de vos comptes utilisateur en fonction de modèles intersites en signalant les identifiants de compte abusifs et en utilisant les connaissances sur les tendances d'abus intersites associées à ces identifiants. Par exemple, vous pouvez fournir les informations suivantes:
Nom d'utilisateur, adresse e-mail ou numéro de téléphone utilisés comme identifiant de connexion pour les requêtes de connexion
L'adresse e-mail ou le numéro de téléphone validés pour une demande d'authentification multifacteur
Une adresse e-mail ou un numéro de téléphone (principal ou secondaire) fourni par l'utilisateur lors d'une demande de modification de compte
Adresses e-mail et numéros de téléphone fournis par l'utilisateur lors d'une demande d'enregistrement
Ajoutez l'identifiant de compte stable choisi au paramètre accountId
dans la méthode
projects.assessments.create
pour toutes les requêtes liées au compte. Vous pouvez éventuellement fournir des identifiants de compte supplémentaires pour les demandes pertinentes à l'aide du champ userIds
dans l'évaluation.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
- PROJECT_ID : ID de votre projet Google Cloud
- TOKEN : jeton renvoyé par l'appel
grecaptcha.enterprise.execute()
- KEY_ID: clé reCAPTCHA associée au site
- ACCOUNT_ID: identifiant associé de manière unique au compte utilisateur d'un utilisateur sur votre site Web
- EMAIL_ADDRESS : facultatif. Adresse e-mail associée à cette requête, le cas échéant
- PHONE_NUMBER : facultatif. Numéro de téléphone associé à cette demande, le cas échéant
- USERNAME : facultatif. Nom d'utilisateur associé à cette requête, le cas échéant
Méthode HTTP et URL :
POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments
Corps JSON de la requête :
{ "event": { "token": "TOKEN", "siteKey": "KEY_ID", "userInfo": { "accountId": "ACCOUNT_ID", "userIds": [ { "email": "EMAIL_ADDRESS" }, { "phoneNumber": "PHONE_NUMBER" }, { "username": "USERNAME" } ] } } }
Pour envoyer votre requête, choisissez l'une des options suivantes :
curl
Enregistrez le corps de la requête dans un fichier nommé request.json
, puis exécutez la commande suivante :
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments"
PowerShell
Enregistrez le corps de la requête dans un fichier nommé request.json
, puis exécutez la commande suivante :
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments" | Select-Object -Expand Content
Vous devriez recevoir une réponse JSON de ce type :
{ "tokenProperties": { "valid": true, "hostname": "www.google.com", "action": "login", "createTime": "2019-03-28T12:24:17.894Z" }, "riskAnalysis": { "score": 0.6, }, "event": { "token": "TOKEN", "siteKey": "KEY", "userInfo": { "accountId": "ACCOUNT_ID" } }, "name": "projects/PROJECT_NUMBER/assessments/b6ac310000000000", "accountDefenderAssessment": { "labels": ["SUSPICIOUS_LOGIN_ACTIVITY"] } }
Exemple de code
Java
Pour vous authentifier auprès de reCAPTCHA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Interpréter le résultat du risque des événements utilisateur critiques
Lorsque vous créez une évaluation avec Account Defender activé, Account Defender renvoie accountDefenderAssessment
dans la réponse à l'évaluation.
La valeur de accountDefenderAssessment
vous aide à évaluer si l'activité de l'utilisateur est légitime ou frauduleuse. Elle renvoie également un ID d'évaluation que vous devez utiliser lorsque vous annotez des événements utilisateur.
Voici un exemple de réponse JSON:
{ "tokenProperties": { "valid": true, "hostname": "www.google.com", "action": "login", "createTime": "2019-03-28T12:24:17.894Z" }, "riskAnalysis": { "score": 0.6, }, "event": { "token": "TOKEN", "siteKey": "KEY_ID", "expectedAction": "USER_ACTION" }, "name": "projects/PROJECT_ID/assessments/b6ac310000000000X", "accountDefenderAssessment": { labels: ["SUSPICIOUS_LOGIN_ACTIVITY"] } }
Le champ accountDefenderAssessment
peut présenter l'une des valeurs suivantes:
Valeur | Description |
---|---|
SUSPICIOUS_LOGIN_ACTIVITY |
Indique que la requête présente un risque élevé de remplissage d'identifiants ou de prise de contrôle de compte. |
SUSPICIOUS_ACCOUNT_CREATION |
Indique que la demande présente un risque élevé de création de compte abusif. |
PROFILE_MATCH |
Indique que les attributs de l'utilisateur correspondent aux attributs précédemment détectés pour cet utilisateur. Cette valeur indique que cet utilisateur se trouve sur un appareil approuvé qui a déjà été utilisé pour accéder à votre site Web.
|
RELATED_ACCOUNTS_NUMBER_HIGH |
Indique que la demande comporte un grand nombre de comptes associés. Cela ne signifie pas nécessairement que le compte est incorrect, mais il peut nécessiter un examen plus approfondi. |
Annoter des événements pour ajuster votre modèle spécifique au site
Pour fournir plus d'informations à l'outil Account Defender de reCAPTCHA et améliorer votre modèle de détection spécifique à votre site, vous devez annoter les événements que vous avez évalués en créant des évaluations.
Pour annoter une évaluation, envoyez une requête à la méthode projects.assessments.annotate
avec l'ID de l'évaluation. Dans le corps de cette requête, vous incluez des libellés fournissant des informations supplémentaires sur un événement décrit dans l'évaluation.
Pour annoter une évaluation, procédez comme suit:
-
Déterminez les informations et les libellés à ajouter dans le corps de la requête JSON en fonction de votre cas d'utilisation.
Le tableau suivant liste les libellés et les valeurs que vous pouvez utiliser pour annoter les événements:
Libellé Description Exemple de requête reasons
Obligatoire. Un libellé pour étayer vos évaluations. Fournissez des informations sur l'événement en temps réel dans l'étiquette
reasons
quelques secondes ou minutes après l'événement, car elles influencent la détection en temps réel.Pour obtenir la liste des valeurs possibles, consultez la section Valeurs de reasons.
Exemple: Pour détecter les piratages de compte, indiquez si le mot de passe saisi était correct à l'aide des valeurs
CORRECT_PASSWORD
ouINCORRECT_PASSWORD
. Si vous avez déployé votre propre MFA, vous pouvez ajouter les valeurs suivantes:INITIATED_TWO_FACTOR
,PASSED_TWO_FACTOR
ouFAILED_TWO_FACTOR
.{ "reasons": ["INCORRECT_PASSWORD"] }
annotation
Facultatif. Libellé indiquant la légitimité des évaluations. Fournissez des informations sur les événements de connexion et d'enregistrement pour valider ou corriger vos évaluations des risques dans le libellé
annotation
.Valeurs possibles:
LEGITIMATE
ouFRAUDULENT
.Vous pouvez envoyer ces informations à tout moment ou dans le cadre d'une job par lot. Toutefois, nous vous recommandons d'envoyer ces informations quelques secondes ou minutes après l'événement, car elles ont une incidence sur la détection en temps réel.
{ "annotation": "LEGITIMATE" }
accountId
Facultatif. Libellé permettant d'associer un ID de compte à un événement.
Si vous avez créé une évaluation sans ID de compte, utilisez ce libellé pour fournir l'ID de compte d'un événement lorsqu'il est disponible.
{ "accountId": "ACCOUNT_ID" }
Créez une requête d'annotation avec les libellés appropriés.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
- ASSESSMENT_ID: valeur du champ
name
renvoyée par l'appelprojects.assessments.create
. - ANNOTATION : facultatif. Étiquette indiquant si l'évaluation est légitime ou frauduleuse.
- REASONS : facultatif. Les raisons qui justifient votre annotation Pour obtenir la liste des valeurs possibles, consultez la section Valeurs de reasons.
- ACCOUNT_ID: facultatif. Identifiant associé de manière unique au compte utilisateur sur votre site Web.
Pour en savoir plus, consultez la section Libellés pour les annotations.
Méthode HTTP et URL :
POST https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate
Corps JSON de la requête :
{ "annotation": ANNOTATION, "reasons": REASONS, "accountId": ACCOUNT_ID }
Pour envoyer votre requête, choisissez l'une des options suivantes :
curl
Enregistrez le corps de la requête dans un fichier nommé
request.json
, puis exécutez la commande suivante :curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate"PowerShell
Enregistrez le corps de la requête dans un fichier nommé
request.json
, puis exécutez la commande suivante :$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recaptchaenterprise.googleapis.com/v1/ASSESSMENT_ID:annotate" | Select-Object -Expand ContentVous devriez recevoir un code d'état indiquant le succès de l'opération (2xx), ainsi qu'une réponse vide.
- ASSESSMENT_ID: valeur du champ
Exemple de code
Java
Pour vous authentifier auprès de reCAPTCHA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Activer Account Defender de reCAPTCHA
Une fois que vous avez configuré vos pages Web pour l'outil Account Defender de reCAPTCHA, vous pouvez l'activer.
Dans la console Google Cloud, accédez à la page reCAPTCHA.
Vérifiez que le nom de votre projet s'affiche dans le sélecteur de ressources en haut de la page.
Si le nom de votre projet n'apparaît pas, cliquez sur le sélecteur de ressource, puis sélectionnez votre projet.
- Cliquez sur Paramètres.
Dans le volet Protecteur de compte, cliquez sur Configurer.
Dans la boîte de dialogue Configurer le Défenseur de compte, cliquez sur Activer, puis sur Enregistrer.
La propagation de l'activation de Account Defender reCAPTCHA dans nos systèmes peut prendre quelques heures. Une fois l'activation de la fonctionnalité propagée dans nos systèmes, vous devriez commencer à recevoir des réponses liées à la protection du compte dans le cadre des évaluations.