导语:谷歌已于本周推出最新版本的reCAPTCHA机制,将以往拼图和复选框的验证模式替换为背景行为分析,此举旨在清除网上泛滥垃圾邮件机器人。

recaptcha-featured-e1527610639956.png

谷歌已于本周推出最新版本的reCAPTCHA机制,将以往拼图和复选框的验证模式替换为背景行为分析,此举旨在清除网上泛滥垃圾邮件机器人。此版本与之前的reCAPTCHA相比有了巨大的进步——它让访问者在登录网站或进入主页时不再需要采取任何冗余步骤。

CAPTCHA的意思是“以完全自动化的公共图灵测试区分机器和人类”,而reCAPTCHA是谷歌专门设计的CAPTCHA版本。老派的reCAPTCHAs由扭曲的文本密码和匹配图片的拼图组成,访问者需要解决这些“难关”后才能证明他们真的是“人类”,但是此举却并不能给现实中的人们带来方便,尤其是那些视力有缺陷的人,所以谷歌花了近四年的时间,努力研究出了reCAPTCHA机制——只要求网站访问者勾选一个方框,就能证明自己“不是机器人”。

Google-v1-300x123.png

2013间的老式reCAPTCHA机制

Google-v2-300x80.png

新推出的reCAPTCHA机制

reCAPTCHA v3与以往版本的最大不同之处在于,它在便捷性上能为用户带来更好的体验。reCAPTCHA v3通过用户行为分析为每个访问者“打分”,以确定交互行为的可疑度,接着网站就可以依据分数判断是否允许访问者继续访问网站。

谷歌负责reCAPTCHA的产品经理Wei Liu于周一时在博客中写道,

通过用户行为分析机制,我们将从根本上改变网站测试人类与机器人活动的方式,消除了用户访问受阻的不良感受。reCAPTCHA v3可在后台运行适应性风险分析,在阻拦恶意流量的同时也能让真实用户在您的站点上享受更“丝滑”的体验。

Liu没有详细说明reCAPTCHA对可疑行为的判定依据,或许是鼠标移动的特点或点击的速度。在之前,谷歌还会通过检查IP地址和Cookie的方式将用户与其他交互行为相匹配——历史记录越长,说明用户是真人的可能性就越大。

谷歌指出,网站可以通过三种方式利用该分数。最简单的方法是简单的设置一个自动阈值,确定用户何时通过。如果访问者低于阈值,则实施进一步的验证,比如双因素身份验证或电话验证,还可以设置多个阈值,以便针对不同类型的流量自定义操作。网站还可以将reCAPTCHA v3集成到自己的代码中。例如,他们可以将得分与来自用户配置文件或以往的交互信息相结合来做出判定,或者也可以使用reCAPTCHA分数作为机器学习的训练模型去对抗泛滥的信息。

reCAPTCHA v3中的另一个功能称为“Action”。当在多个网站页面上实施reCAPTCHA v3时,可对用户的行为进行综合判定。通过这种方式,reCAPTCHA自适应风险分析引擎可以通过查看网站上不同页面的活动来更准确地识别攻击者的模式。这一改变还有助于打消越来越多的网络犯罪分子企图通过人工智能打败reCAPTCHA的念头。破译扭曲的文本对AI而言是可行的,但想要模仿真实的人类的上网行为就另当别论了,尤其是对多页面的访问。

谷歌的此次发布的新版本,就当前的状况而言是非常及时的。鉴于CAPTCHA是抵御自动网络抓取、DDoS攻击、欺诈性购买等行为的重要工具,如何绕过它始终是地下组织热衷研究的主题之一。上周Flashpoint分析师也发现了,在某英语暗网网点上,针对CAPTCHA的话题讨论趋势有所上升。

在一个入门级的黑帽SEO论坛上,研究人员看到有人询问Python和Selenium脚本绕过CAPTCHA的效能,跟帖的人们提出了不同的建议和策略,像是使用各种开源和合法的CAPTCHA绕行服务——其中大部分旨在帮助视力受损或患有阅读障碍的人。

分析师还就两种绕过CAPTCHA的非法工具进行了分析:

第一种工具似乎是一款盗版的自动添加好友的社交媒体营销软件,而第二种则是一种SEO软件,经常被威胁行为者用于向论坛和评论区发送垃圾邮件。后者据说能够“解码”超过400种默认形式的验证码,并且可以通过单独出售的插件来解码更多的类型。

源链接

Hacking more

...