Google更新reCAPTCHA Enterprise加入账户防护工具

Google公开预览账户防护工具(Account Defender),来进一步打击线上欺诈。该新功能包含在Google的线上欺诈侦测服务reCAPTCHA Enterprise,可供网站拥有者确认用户在网站的操作,是否与过去的典型行为一致。

reCAPTCHA Enterprise可防止脚本、机器人和人类所进行的欺诈和攻击行为,当reCAPTCHA Enterprise安装在网页页面上的行动点,诸如登录、购买和账户创建,该服务能以顺畅的用户体验,允许合法用户继续操作,并且阻挡虚假用户和机器人。

而账户防护工具推进reCAPTCHA Enterprise的侦测方法,能够分析请求,以确保来自特定账户的请求,与该账户过去在所有网站的行为一致,Google解释,账户防护工具所执行的分析,使用特殊的模型来侦测可疑行为和活动变化

该账户防护工具能够发现遭到接管或是假账户的可疑行为,并发现网站上存在类似行为的账户,还能侦测来自被标记为对特定用户可信的设备请求,也就是说,账户防护工具能够限制和停用欺诈账户,避免黑客尝试接管账户,并且只接受来自合法账户的请求,也能减少用户从受信任设备登录时,所产生的使用体验摩擦。

账户防护工具的运行原理,是网站拥有者会对用户生成唯一的隐私散列ID,来自该用户的请求,都必需要包含该散列ID,Google举例,网站所有者会替用户生成像是36228b7496a6ab9bb5fecf12b5799105这样的散列ID,而用户要进行登录、注册、付款和搜索,都必须包含该散列ID。这个方法让reCAPTCHA Enterprise能够构建特定网站的侦测模型,以及时发现遭到劫持或是伪造的账户。

而网站借由使用现有的Annotations API,可以向Google发送账户相关的元数据,包括错误的密码输入或是双重验证等信息,这将有助于reCAPTCHA Enterprise发现可疑的活动模式。根据活动模式,reCAPTCHA Enterprise将回传该请求为用户预期行为,还是可疑登录或账户创建。

当网站集成reCAPTCHA Enterprise的多因素身份验证功能,账户防护工具将会回传操作建议,指示网站再次验证用户与否,以减少真实用户的使用摩擦。在网站侦测到用户欺诈时,便可以使用相关的账户API,进一步搜索类似的用户,而该搜索的结果会分享给其他网站拥有者,以调查这些账户相关的欺诈行为。

发表评论