Rilevare e impedire violazioni degli account

Questa pagina descrive come rilevare e prevenire le violazioni degli account (ATO) utilizzando reCAPTCHA.

Gli attacchi ATO solitamente si verificano quando un aggressore invia richieste di accedere agli endpoint API utilizzando le credenziali ottenute da una violazione dei dati, noto come dump delle password. Questo tipo di attacco può essere efficace anche se il dump delle password proviene da un sito non correlato, perché le persone tendono a riutilizzare le password su più account. Questo tipo di attacco non interessa gli utenti che adottano pratiche di gestione delle password adeguate, ad esempio l'utilizzo di un gestore delle password.

Prima di iniziare

Prepara l'ambiente per reCAPTCHA.

Rilevare e impedire gli ATO

Con reCAPTCHA, puoi rilevare e prevenire gli ATO utilizzando uno dei le seguenti opzioni:

Utilizzare la casella di controllo Non sono un robot

L'aggiunta della casella di controllo Non sono un robot al tuo sito è il modo più rapido e semplice per fornire una certa protezione contro gli ATO senza dover integrare funzionalità aggiuntive, come la verifica via SMS o email. Per un utente malintenzionato, violare questa protezione ha un costo e questa opzione potrebbe essere sufficiente per alcuni siti.

Aggiungi la casella di controllo "Non sono un robot" nelle tue pagine web.

Il seguente codice è un esempio attivo di una pagina di accesso protetta dalla casella di controllo:

function onSuccess(token) {
  // The token is included in the POST data in the g-recaptcha-response
  // parameter. The backend must create an Assessment with the token
  // and verify the token is valid.
  console.log(token);
}
<form id="loginForm" action="?" method="POST">
  Username: <input type="text" name="username"/><br/>
  Password: <input type="password" name="password"/><br/>
  <div class="g-recaptcha" data-sitekey="reCATCHA_sitekey"
       data-action="account_login" data-callback="onSuccess"></div>
</form>
<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>

Puoi fare esperimenti con questo codice in JSFiddle facendo clic sull'icona <> nell'angolo in alto a destra della finestra di codice.

<html>
  <head>
    <title>Account Login - Checkbox</title>
    <script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
    <script>
    function onSuccess(token) {
      // The token is included in the POST data in the g-recaptcha-response
      // parameter. The backend must create an Assessment with the token
      // and verify the token is valid.
      console.log(token);
    }
    </script>
  </head>
  <body>
    <form id="loginForm" action="?" method="POST">
      Username: <input type="text" name="username"/><br/>
      Password: <input type="password" name="password"/><br/>
      <div class="g-recaptcha" data-sitekey="6LeAkOgUAAAAACcy3uY6N9H9SJMS27n3Zx2OOnYK"
           data-action="account_login" data-callback="onSuccess"></div>
    </form>
  </body>
</html>

Usa i punteggi e le sfide personalizzate

Per proteggerti dagli attacchi di violazione di account, utilizza le chiavi basate sul punteggio di reCAPTCHA e le verifiche di autenticazione a più fattori (MFA), ad esempio le verifiche via email e SMS in cui vengono inviati all'utente codici una tantum (OTP).

Per utilizzare chiavi basate sul punteggio e verifiche personalizzate, prendi in considerazione le seguenti opzioni:

A seconda del caso d'uso, puoi utilizzare la MFA autonomamente o con basate sul punteggio. Ad esempio, per ridurre le difficoltà, potresti preferire utilizzare le verifiche di autenticazione a due fattori solo per i punteggi al di sotto di una determinata soglia.

L'esempio seguente mostra come integrare chiavi basate sul punteggio nell'accesso in questo scenario.

function submitForm() {
  grecaptcha.enterprise.ready(function() {
    grecaptcha.enterprise.execute(
      'reCAPTCHA_site_key', {action: 'account_login'}).then(function(token) {
       document.getElementById("token").value = token;
       document.getElementByID("loginForm").submit();
    });
  });
}
<form id="loginForm" action="?" method="POST">
  Username: <input type="text" name="username"/><br/>
  Password: <input type="password" name="password"/><br/>
  <input type="hidden" id="token" name="recaptcha_token"/>
  <button onclick="submitForm()">Login</button>
</form>
<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>

Puoi fare esperimenti con questo codice in JSFiddle facendo clic sull'icona <> nell'angolo in alto a destra della finestra di codice.

<html>
  <head>
    <title>Account Login - Score</title>
    <script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>
    <script>
    function submitForm() {
      grecaptcha.enterprise.ready(function() {
        grecaptcha.enterprise.execute(
          'reCAPTCHA_site_key', {action: 'account_login'}).then(function(token) {
           document.getElementById("token").value = token;
           document.getElementByID("loginForm").submit();
        });
      });
    }
    </script>
  </head>
  <body>
    <form id="loginForm" action="?" method="POST">
      Username: <input type="text" name="username"/><br/>
      Password: <input type="password" name="password"/><br/>
      <input type="hidden" id="token" name="recaptcha_token"/>
      <button onclick="submitForm()">Login</button>
    </form>
  </body>
</html>

Passaggi successivi