本文档介绍了推荐的 reCAPTCHA Enterprise 实施方式和欺诈缓解策略,以防范关键的自动化威胁(针对 Web 应用的 OWASP 自动威胁 (OAT))。企业架构师和技术利益相关方可以查看这些信息,以便就其使用场景的 reCAPTCHA Enterprise 实现和欺诈缓解策略做出明智的决策。
本文档针对每种威胁提供了以下信息:
reCAPTCHA Enterprise 的最佳实现方式。此实现采用 reCAPTCHA Enterprise 的相关功能设计,可以实现最佳的欺诈防护。
reCAPTCHA Enterprise 的极简实现。此实现旨在尽可能减少欺诈防护。
建议的欺诈缓解策略。
请选择最适合您的使用场景的实现和欺诈缓解策略。 以下因素可能会影响您选择的实现和欺诈缓解策略:
- 组织的防欺诈需求和功能。
- 组织的现有环境。
如需了解 reCAPTCHA Enterprise 的建议常规实现方法,请参阅使用 reCAPTCHA Enterprise 的最佳实践。
如需详细了解适用于您的使用场景的欺诈缓解策略,请与我们的销售团队联系。
银行卡
银行卡是一种自动威胁,即攻击者会进行多次付款授权尝试来验证批量窃取的支付卡数据的有效性。
最低实现
在最终用户需要输入信用卡信息的所有网页上添加复选框网站密钥。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框验证)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在最终用户需要输入信用卡信息的所有网页上安装基于得分的网站密钥。在
action
参数中指定一项操作,例如card_entry
。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。为您网站上的付款工作流安装 reCAPTCHA Enterprise。如需了解如何保护付款工作流,请参阅保护付款工作流。
为所有令牌创建评估,并将
expectedAction
设置为与您在安装基于得分的网站密钥时指定的action
的值匹配。如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为转化为欺诈性购买或退款的评估添加
fraudulent
注解。 如需了解如何为评估添加注释,请参阅为评估添加注释。
欺诈缓解策略
实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略之一来保护您的网站免受卡片攻击:
为您网站上的付款工作流安装 reCAPTCHA Enterprise。如需了解如何保护付款工作流,请参阅保护付款工作流。
配置卡管理 API,以确保 reCAPTCHA 令牌有效且得分大于阈值。
如果得分未达到或超过指定的阈值,请勿进行卡授权,也不允许最终用户使用该卡。如有可能,应允许交易在购买时继续进行,但稍后再取消交易,以免告知攻击者。
创建评估时,请确保您的评估符合以下条件,才能成功完成交易:
- 所有评估的令牌均有效,且得分大于指定阈值。
expectedAction
的值与您在在网页上安装基于得分的网站密钥时指定的action
的值一致。如需了解如何验证操作,请参阅验证操作。
如果交易不符合这些条件,请勿进行卡授权,也不允许最终用户使用该卡。如有可能,应允许交易在购买时继续进行,但稍后再取消交易,以免告知攻击者。
卡破裂
卡破解是一种自动威胁,攻击者会通过尝试不同的值来识别被盗支付卡数据的开始日期、失效日期和安全代码缺失的值。
最低实现
在最终用户需要输入付款详细信息的所有网页上添加复选框网站密钥,包括结账和添加付款方式功能。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框验证)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在最终用户需要输入付款详细信息的所有网页上安装基于得分的网站密钥。在
action
参数中指定一项操作,例如checkout
或add_pmtmethod
。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。为您网站上的付款工作流安装 reCAPTCHA Enterprise。如需了解如何保护付款工作流,请参阅保护付款工作流。
为所有令牌创建评估,并将
expectedAction
设置为与您在安装基于得分的网站密钥时指定的action
的值匹配。如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为转化为欺诈性购买或退款的评估添加
fraudulent
注解。 如需了解如何为评估添加注释,请参阅为评估添加注释。
欺诈缓解策略
实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略之一来保护您的网站免遭银行卡破解:
为您网站上的付款工作流安装 reCAPTCHA Enterprise。如需了解如何保护付款工作流,请参阅保护付款工作流。
实施响应模型并创建评估:
创建并实现响应模型,该模型会针对基于得分的风险进行调整。
以下示例展示了响应模型示例:
- 对于中低得分阈值 (0.0-0.5),请使用基于情境的风险管理,例如限制尝试次数和阻止超过指定值的购买。
- 对于最高分阈值 (> 0.5),允许最终用户不进行任何质询即可继续操作。
创建评估时,请确保
expectedAction
的值与您在在网页上安装基于得分的网站键时指定的action
的值一致。 如果不符,请勿进行卡授权,也不要允许最终用户使用该卡。如有可能,应允许交易在购买时继续进行,但稍后再取消交易,以免告知攻击者。
凭据破解
凭据破解是一种自动威胁,即攻击者通过尝试输入不同的用户名和密码值来识别有效的登录凭据。
最低实现
在最终用户需要输入凭据的所有页面上添加复选框网站密钥,包括登录和忘记了密码函数。如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框验证)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
-
在最终用户需要输入凭据的所有网页上安装基于得分的网站密钥。
在
action
参数中指定一项操作,例如login
或authenticate
。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 - 建议:针对所有身份验证尝试实现 reCAPTCHA Enterprise 密码泄露检测。如需了解如何使用密码泄露检测功能,请参阅检测密码泄露和遭泄露的凭据。
- 可选:如需屏蔽高流量和低 reCAPTCHA 得分互动,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 实现 WAF 和 Google Cloud Armor 集成。
- 实施 reCAPTCHA Enterprise 账号卫士,以追踪最终用户的每次登录行为,并接收可表明存在 ATO 的其他信号。 如需了解如何使用 reCAPTCHA Enterprise 账号卫士,请参阅检测和防范与账号相关的欺诈活动。
-
为所有令牌创建评估,并将
expectedAction
设置为与您在安装基于得分的网站密钥时指定的action
的值匹配。如需了解如何创建评估,请参阅创建评估。 - 保存所有评估 ID,并为疑似有欺诈性的评估(例如帐号包版 (ATO) 或任何其他欺诈活动)添加注解。如需了解如何为评估添加注释,请参阅为评估添加注释。
欺诈缓解策略
实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略来保护您的网站免遭凭据破解:
-
创建并实现响应模型,该模型会针对基于得分的风险进行调整。
以下示例展示了响应模型示例:
- 对于低到中等分数阈值 (0.0-0.5),请通过电子邮件或短信对最终用户进行多重身份验证。
- 对于最高分阈值 (> 0.5),允许最终用户不进行任何质询即可继续操作。
-
如果最终用户成功进行身份验证,但收到了 reCAPTCHA Enterprise 密码泄露检测返回
credentialsLeaked: true
响应,则终止或中断会话,然后向最终用户发送电子邮件以更改密码。 -
创建评估时,请确保
expectedAction
的值与您在在网页上安装基于得分的网站键时指定的action
的值一致。 如果不匹配,则不允许身份验证。
凭据填充
凭据填充是一种自动化的威胁,攻击者可以通过大量登录尝试来验证被盗的用户名/密码对的有效性。
最低实现
在最终用户需要输入凭据的所有页面上添加复选框网站密钥,包括登录和忘记了密码函数。如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框验证)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
-
在最终用户需要输入凭据的所有网页上安装基于得分的网站密钥。
在
action
参数中指定一项操作,例如login
或authenticate
。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 - 建议:针对所有身份验证尝试实现 reCAPTCHA Enterprise 密码泄露检测。如需了解如何使用密码泄露检测功能,请参阅检测密码泄露和遭泄露的凭据。
- 实施 reCAPTCHA Enterprise 账号卫士,以追踪最终用户的每次登录行为,并接收可表明存在 ATO 的其他信号。 如需了解如何使用 reCAPTCHA Enterprise 账号卫士,请参阅检测和防范与账号相关的欺诈活动。
可选:如需屏蔽高流量和低 reCAPTCHA 得分互动,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 实现 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction
设置为与您在安装基于得分的网站密钥时指定的action
的值匹配。如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为转化为欺诈性购买或退款的评估添加
fraudulent
注解。 如需了解如何为评估添加注释,请参阅为评估添加注释。
欺诈缓解策略
实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略来保护您的网站免受凭据填充的威胁:
-
创建并实现响应模型,该模型会针对基于得分的风险进行调整。
以下示例展示了响应模型示例:
- 对于最低 reCAPTCHA 分数阈值 (0.0),请告知最终用户其密码不正确。
- 对于中等分数阈值 (0.1-0.5),请通过电子邮件或短信对最终用户进行多重身份验证。
- 对于最高分阈值 (> 0.5),允许最终用户不进行任何质询即可继续操作。
-
如果最终用户成功进行身份验证,但收到了 reCAPTCHA Enterprise 密码泄露检测返回
credentialsLeaked: true
响应,则终止或中断会话,然后向最终用户发送电子邮件以更改密码。 -
创建评估时,请确保
expectedAction
的值与您在在网页上安装基于得分的网站键时指定的action
的值一致。 如果不匹配,则不允许身份验证。 - 在您的评估中,如果
accountDefenderAssessment
=PROFILE_MATCH
,则允许最终用户在没有任何质询的情况下继续操作。
提现
变现是一种自动威胁,攻击者利用之前通过验证的被盗支付卡获取货币或高价值商品。
最低实现
- 在支持结账的所有网页上安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。
- 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
- 在最终用户输入礼品卡信息的所有网页上安装基于得分的网站密钥。指定操作,例如
add_gift_card
。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 为所有令牌创建评估,并将
expectedAction
设置为与您在安装基于得分的网站密钥时指定的action
的值匹配。如需了解如何创建评估,请参阅创建评估。保存所有评估 ID 并为欺诈性交易添加注释。
欺诈缓解策略
实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略,防止您的网站上存在现金套现:
为您网站上的付款工作流安装 reCAPTCHA Enterprise。如需了解如何保护付款工作流,请参阅保护付款工作流。
实施响应模型并创建评估:
-
创建并实现响应模型,该模型会针对基于得分的风险进行调整。
以下示例展示了响应模型示例:
- 对于中低得分阈值 (0.0-0.5),请使用基于情境的风险管理,例如限制尝试次数和阻止超过指定值的购买。
- 对于最高分阈值 (> 0.5),允许最终用户不进行任何质询即可继续操作。
-
创建评估时,请确保
expectedAction
的值与您在在网页上安装基于得分的网站键时指定的action
的值一致。 如果二者不符,则不允许身份验证。 如有可能,应允许交易在购买时继续进行,但稍后再取消交易,以免告知攻击者。
-
创建账号
帐号创建是一种自动的威胁,攻击者可以创建多个帐号以供后续滥用。
最低实现
在最终用户需要输入凭据的所有页面上添加复选框网站密钥,包括登录和忘记了密码函数。如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框验证)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
- 在创建账号的所有网页上安装基于得分的网站密钥。
在
action
参数中指定一项操作,例如register
。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 - 建议:针对所有身份验证尝试实现 reCAPTCHA Enterprise 密码泄露检测。如需了解如何使用密码泄露检测功能,请参阅检测密码泄露和遭泄露的凭据。
- 实现 reCAPTCHA Enterprise 账号卫士,以便接收表明创建虚假账号的额外信号。 如需了解如何使用 reCAPTCHA Enterprise 账号卫士,请参阅检测并防范与账号相关的欺诈活动。
可选:如需屏蔽高流量和低 reCAPTCHA 得分互动,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 实现 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction
设置为与您在安装基于得分的网站密钥时指定的action
的值匹配。如需了解如何创建评估,请参阅创建评估。保存所有评估 ID 并为欺诈性交易添加注释。
欺诈缓解策略
实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略来保护您的网站,以免创建帐号:
-
创建并实现响应模型,该模型会针对基于得分的风险进行调整。
以下示例展示了响应模型示例:
- 对于最低 reCAPTCHA 得分阈值 (0.0),请限制帐号的操作,直到帐号接受进一步的欺诈检查。
- 对于中等分数阈值 (0.1-0.5),通过电子邮件或短信对最终用户进行多重身份验证。
- 对于最高分阈值 (> 0.5),允许最终用户不进行任何质询即可继续操作。
- 如果最终用户成功进行身份验证,但收到了 reCAPTCHA Enterprise 密码泄露检测返回
credentialsLeaked: true
响应,则可以结束或中断会话,并提示用户选择新密码。 -
创建评估时,请确保
expectedAction
的值与您在在网页上安装基于得分的网站键时指定的action
的值一致。 如果不匹配,则不允许注册或创建帐号。 - 在您的评估中,如果
accountDefenderAssessment
=SUSPICIOUS_ACCOUNT_CREATION
,则在可以执行进一步的验证之前,限制帐号的访问权限。
更改欺诈性帐号和地址
作为欺诈活动或帐号盗用过程,攻击者可能会试图更改帐号详细信息,包括电子邮件地址、手机号码或邮寄地址。
最低实现
在最终用户需要输入凭据的所有页面上添加复选框网站密钥,包括登录和忘记了密码函数。如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框验证)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在创建账号的所有网页上安装基于得分的网站密钥。 在
action
参数中指定一项操作,例如change_telephone
或change_physicalmail
。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。为所有令牌创建评估,并将
expectedAction
设置为与您在安装基于得分的网站密钥时指定的action
的值匹配。如需了解如何创建评估,请参阅创建评估。实施 reCAPTCHA Enterprise 账号卫士,以追踪最终用户的每次登录行为,并接收可表明存在 ATO 的其他信号。 如需了解如何使用 reCAPTCHA Enterprise 账号卫士,请参阅检测和防范与账号相关的欺诈活动。
保存所有评估 ID 并为欺诈性交易添加注释。
欺诈缓解策略
实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略来保护您的网站免受欺诈性帐号和地址更改的侵害:
创建并实现响应模型,该模型会针对基于得分的风险进行调整。
以下示例展示了响应模型示例:
- 对于低到中等分数阈值 (0.0-0.5),请通过电子邮件或短信对最终用户进行多重身份验证。
- 对于最高分阈值 (> 0.5),允许最终用户不进行任何质询即可继续操作。
创建评估时,请确保
expectedAction
的值与您在在网页上安装基于得分的网站键时指定的action
的值一致。 如果二者不符,则不允许更改帐号。在您的评估中,如果
accountDefenderAssessment
没有PROFILE_MATCH
标签,请通过电子邮件或短信对最终用户进行多重身份验证。
令牌破解
令牌破解是一种自动化的威胁,攻击者可以大量枚举优惠券编号、代金券代码和折扣令牌。
最低实现
在最终用户需要输入礼品卡信息的所有网页上添加复选框网站密钥。 如需了解如何安装复选框网站密钥,请参阅在网站上安装复选框网站密钥(复选框验证)。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在最终用户需要输入礼品卡信息的所有网页上安装基于得分的网站密钥。指定操作,例如
gift_card_entry
。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。可选:如需屏蔽高流量和低 reCAPTCHA 得分互动,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 实现 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction
设置为与您在安装基于得分的网站密钥时指定的action
的值匹配。如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为会变成欺诈性礼品卡或优惠券的评估添加注释。
欺诈缓解策略
实现 reCAPTCHA Enterprise 后,请使用以下欺诈防范策略之一来保护您的网站免遭令牌破解:
配置卡管理 API,以确保 reCAPTCHA 令牌有效且得分大于阈值。
如果得分未达到或超过指定的阈值,请勿进行礼品卡或信用卡授权,也不要允许最终用户使用优惠券或礼品卡。如有可能,应允许交易在购买时继续进行,但稍后再取消交易,以免告知攻击者。
创建评估时,请确保您的评估符合以下条件,才能成功完成交易:
- 所有评估的令牌均有效,且得分大于指定阈值。
expectedAction
的值与您在在网页上安装基于得分的网站密钥时指定的action
的值一致。如需了解如何验证操作,请参阅验证操作。
如果交易不符合这些条件,请勿进行礼品卡或信用卡授权,也不要允许最终用户使用优惠券或礼品卡。 如有可能,应允许交易在购买时继续进行,但稍后再取消交易,以免告知攻击者。
剥皮
“剥削”是一种自动化的威胁,攻击者通过不公平的方法获取可用性受限且首选的商品或服务。
最低实现
- 在最终用户需要输入礼品卡信息的所有网页上安装基于得分的网站密钥。在
action
参数中指定一项操作,例如add_to_cart
。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 -
为所有令牌创建评估,并将
expectedAction
设置为与您在安装基于得分的网站密钥时指定的action
的值匹配。如需了解如何创建评估,请参阅创建评估。
最佳实现
在最终用户需要输入礼品卡信息的所有网页上安装基于得分的网站密钥。在
action
参数中指定一项操作,例如add_to_cart
。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。可选:如需屏蔽高流量和低 reCAPTCHA 得分互动,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 实现 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction
设置为与您在安装基于得分的网站密钥时指定的action
的值匹配。如需了解如何创建评估,请参阅创建评估。保存所有评估 ID 并为欺诈性交易添加注释。
欺诈缓解策略
实施 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略,防止您的网站被滥用:
创建并实现响应模型,该模型会针对基于得分的风险进行调整。
以下示例展示了响应模型示例:
- 对于中低得分阈值 (0.0-0.5),请使用基于情境的风险管理,例如限制尝试次数和阻止超过指定值的购买。
- 对于最高分阈值 (> 0.5),允许最终用户不进行任何质询即可继续操作。
创建评估时,请确保
expectedAction
的值与您在在网页上安装基于得分的网站键时指定的action
的值一致。 如果不匹配,请勿运行礼品卡授权。
偏差
偏差是一种自动威胁,即攻击者会利用重复的链接点击、页面请求或表单提交来更改某些指标。
最低实现
- 在可能出现指标偏差的所有网页上安装基于得分的网站键。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。
- 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在可能出现指标偏差的所有网页上安装基于得分的网站键。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。
可选:如需屏蔽高流量和低 reCAPTCHA 得分互动,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 实现 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction
设置为与您在安装基于得分的网站密钥时指定的action
的值匹配。如需了解如何创建评估,请参阅创建评估。保存所有评估 ID 并为欺诈性交易添加注释。
欺诈缓解策略
实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略,防止您的网站出现偏差:
创建并实现响应模型,该模型会针对基于得分的风险进行调整。
以下示例展示了响应模型示例:
- 对于中低得分阈值 (0.0-0.5),请使用基于情境的风险管理,例如跟踪用户点击某个广告的次数或用户重新加载网页的次数。您可以根据这些数据来确定是否要对该指标进行计数。
- 对于最高分阈值 (> 0.5),允许最终用户不进行任何质询即可继续操作。
刮削
爬取是一种自动威胁,即攻击者以自动化方式收集网站数据或工件。
最低实现
- 在包含重要信息的所有网页以及常见的最终用户互动网页上,安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。
- 为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
最佳实现
在包含重要信息的所有网页以及常见的最终用户互动网页上,安装基于得分的网站密钥。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。
可选:如需屏蔽高流量和低 reCAPTCHA 得分互动,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 实现 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估。 如需了解如何创建评估,请参阅创建评估。
保存所有评估 ID 并为欺诈性交易添加注释。
欺诈缓解策略
实现 reCAPTCHA Enterprise 后,请使用以下欺诈缓解策略来保护您的网站免遭抄袭:
- 通过将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成,阻止高流量和 reCAPTCHA 得分较低的互动。例如,您可以使用 reCAPTCHA Enterprise 实现 WAF 和 Google Cloud Armor 集成
- 如果爬取涉及 API,请使用 Apigee Management API 作为额外的缓解措施。
人机识别系统验证失败
人机识别系统失败是一种自动化的威胁,攻击者会尝试利用自动化技术来分析和/或听觉人机识别系统测试及相关谜题的答案。
最低实现
在涉及最终用户输入、帐号创建、付款信息或最终用户存在欺诈行为的所有网页上安装基于得分的网站密钥。在
action
参数中指定描述性操作。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。为所有令牌创建评估,并将
expectedAction
设置为与您在安装基于得分的网站密钥时指定的action
的值匹配。如需了解如何创建评估,请参阅创建评估。
最佳实现
- 在涉及最终用户输入、帐号创建、付款信息或最终用户存在欺诈行为的所有网页上安装基于得分的网站密钥。在
action
参数中指定描述性操作。 如需了解如何安装基于得分的网站密钥,请参阅在网站上安装基于得分的网站密钥(无验证)。 可选:如需屏蔽高流量和低 reCAPTCHA 得分互动,请将 reCAPTCHA Enterprise 与 Web 应用防火墙 (WAF) 集成。例如,您可以使用 reCAPTCHA Enterprise 实现 WAF 和 Google Cloud Armor 集成。
为所有令牌创建评估,并将
expectedAction
设置为与您在安装基于得分的网站密钥时指定的action
的值匹配。如需了解如何创建评估,请参阅创建评估。保存所有评估 ID,并为转化为欺诈性购买或退款的评估添加
fraudulent
注解。 如需了解如何为评估添加注释,请参阅为评估添加注释。
欺诈缓解策略
实现 reCAPTCHA Enterprise 后,请使用以下欺诈防范策略之一来保护您的网站免受人机识别系统验证:
实施响应模型并创建评估:
-
创建并实现响应模型,该模型会针对基于得分的风险进行调整。
以下示例展示了响应模型示例:
- 对于低到中等分数阈值 (0.0-0.5),请通过电子邮件或短信对最终用户进行多重身份验证。
- 对于最高分阈值 (> 0.5),允许最终用户不进行任何质询即可继续操作。
-
创建评估时,请确保
expectedAction
的值与您在在网页上安装基于得分的网站键时指定的action
的值一致。 如果不匹配,则不允许身份验证。
-
如果最终用户使用的网络浏览器已停用 JavaScript,请执行以下操作:
- 屏蔽这些最终用户。
- 通知最终用户您的网站需要 JavaScript 才能继续。
确保执行
grecaptcha.enterprise.ready
promise,以防止最终用户浏览器阻止 Google 脚本加载。这表示 reCAPTCHA Enterprise 已完全加载,未遇到错误。对于仅适用于网站的 API,我们建议将 reCAPTCHA 令牌或 reCAPTCHA 评估结果传递给后端 API,然后仅在 reCAPTCHA 令牌有效且满足分数阈值时才允许执行 API 操作。这样可确保最终用户在没有访问网站的情况下不使用 API。