Auf dieser Seite wird beschrieben, wie Kontoübernahmen (ATOs) erkannt und verhindert werden können. mit reCAPTCHA.
ATO-Angriffe treten normalerweise auf, wenn ein Angreifer Anfragen zur Anmeldung bei API-Endpunkten sendet. Dabei werden Anmeldedaten verwendet, die aus einer Datenpanne stammen. Diese werden auch als Kennwort-dump bezeichnet. Diese Art von Angriff kann erfolgreich sein, selbst wenn der Kennwort-dump von einer anderen Website stammt, da Menschen dazu neigen, Kennwörter über mehrere Konten hinweg wiederzuverwenden. Diese Art von Angriff funktioniert nicht gegen Nutzer, die eine angemessene Kennwortpraxis anwenden, z. B. mithilfe eines Kennwortmanagers.
Hinweise
Bereiten Sie Ihre Umgebung für reCAPTCHA vor.
ATOs erkennen und verhindern
Mit reCAPTCHA können Sie ATOs mit einer der folgenden Optionen erkennen und verhindern:
Kästchen „Ich bin kein Roboter“ verwenden
Das Hinzufügen des Kontrollkästchens Ich bin kein Roboter zu Ihrer Website ist der schnellste und einfachste Weg, um einen gewissen Schutz gegen ATOs zu bieten, ohne zusätzliche Funktionen wie SMS- oder E-Mail-Bestätigung integrieren zu müssen. Es verursacht Kosten für einen Angreifer, diesen Schutz aufzuheben. Diese Option kann für einige Websites ausreichend sein.
Fügen Sie das Kästchen „Ich bin kein Roboter“ auf Ihren Webseiten hinzu.
Der folgende Code ist ein Live-Beispiel einer Anmeldeseite, die durch das Kontrollkästchen geschützt ist:
function onSuccess(token) {
// The token is included in the POST data in the g-recaptcha-response
// parameter. The backend must create an Assessment with the token
// and verify the token is valid.
console.log(token);
}<form id="loginForm" action="?" method="POST">
Username: <input type="text" name="username"/><br/>
Password: <input type="password" name="password"/><br/>
<div class="g-recaptcha" data-sitekey="reCATCHA_sitekey"
data-action="account_login" data-callback="onSuccess"></div>
</form><script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
Sie können mit diesem Code in JSFiddle experimentieren. Klicken Sie dazu in der oberen rechten Ecke des Codefensters auf das Symbol <>.
<html>
<head>
<title>Account Login - Checkbox</title>
<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
<script>
function onSuccess(token) {
// The token is included in the POST data in the g-recaptcha-response
// parameter. The backend must create an Assessment with the token
// and verify the token is valid.
console.log(token);
}
</script>
</head>
<body>
<form id="loginForm" action="?" method="POST">
Username: <input type="text" name="username"/><br/>
Password: <input type="password" name="password"/><br/>
<div class="g-recaptcha" data-sitekey="6LeAkOgUAAAAACcy3uY6N9H9SJMS27n3Zx2OOnYK"
data-action="account_login" data-callback="onSuccess"></div>
</form>
</body>
</html>Punktzahlen und individuelle Wettkämpfe verwenden
Verwenden Sie den reCAPTCHA-Wert, um sich vor ATOs zu schützen Schlüssel verwenden und die Multi-Faktor-Authentifizierung (MFA) nutzen, z. B. E-Mails und SMS-Aufgaben, bei denen einmalige Codes (OTPs) an den Nutzer gesendet werden.
Wenn Sie punktbasierte Schlüssel und benutzerdefinierte Abfragen verwenden möchten, haben Sie folgende Möglichkeiten:
Auf Punktzahlen basierende Schlüssel installieren, um Automatisierungen bei großen ATOs zu erkennen
Informationen zum Installieren punktebasierter Schlüssel auf Webseiten finden Sie unter Punktebasierte Schlüssel auf Webseiten installieren.
Informationen zum Installieren von wertbasierten Schlüsseln in mobilen Apps finden Sie unter reCAPTCHA in Android-Apps integrieren. oder reCAPTCHA in iOS-Apps einbinden.
Verwenden Sie die MFA, um die Kontoinhaberschaft bei der Anmeldung oder für sensible Aktionen zu bestätigen.
Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung konfigurieren.
Je nach Anwendungsfall können Sie MFA allein oder mit wertbasierten Schlüssel. Beispiel: Sie können MFA-Herausforderungen nur für Punktzahlen unter einem bestimmten Schwellenwert verwenden, um Reibungen zu reduzieren.
Das folgende Beispiel zeigt, wie wertbasierte Schlüssel in die Anmeldung integriert werden. Szenario.
function submitForm() {
grecaptcha.enterprise.ready(function() {
grecaptcha.enterprise.execute(
'reCAPTCHA_site_key', {action: 'account_login'}).then(function(token) {
document.getElementById("token").value = token;
document.getElementByID("loginForm").submit();
});
});
}<form id="loginForm" action="?" method="POST"> Username: <input type="text" name="username"/><br/> Password: <input type="password" name="password"/><br/> <input type="hidden" id="token" name="recaptcha_token"/> <button onclick="submitForm()">Login</button> </form>
<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
Sie können mit diesem Code in JSFiddle experimentieren. Klicken Sie dazu in der oberen rechten Ecke des Codefensters auf das Symbol <>.
<html>
<head>
<title>Account Login - Score</title>
<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
<script>
function submitForm() {
grecaptcha.enterprise.ready(function() {
grecaptcha.enterprise.execute(
'reCAPTCHA_site_key', {action: 'account_login'}).then(function(token) {
document.getElementById("token").value = token;
document.getElementByID("loginForm").submit();
});
});
}
</script>
</head>
<body>
<form id="loginForm" action="?" method="POST">
Username: <input type="text" name="username"/><br/>
Password: <input type="password" name="password"/><br/>
<input type="hidden" id="token" name="recaptcha_token"/>
<button onclick="submitForm()">Login</button>
</form>
</body>
</html>Nächste Schritte
- Weitere Informationen zu anderen Funktionen zum Schutz von Konten finden Sie unter Funktionen zum Schutz von Nutzerkonten.