reCAPTCHA คืออะไร
reCAPTCHA เป็นระบบความปลอดภัยแบบ challenge-response ที่พัฒนาขึ้นเดิมที่ Carnegie Mellon University และได้รับการซื้อกิจการจาก Google ในปี 2009 วัตถุประสงค์หลักของมันคือการบล็อกโปรแกรมอัตโนมัติ — ปกติเรียกว่าบอท — จากการส่งแบบฟอร์ม การสร้างบัญชี หรือการแสดงการโหวตในแอปพลิเคชันเว็บ ในขณะที่อนุญาตให้ผู้ใช้มนุษย์ที่แท้จริงผ่านไปโดยไม่มีความขัดแย้ง
กลไกทางเทคนิค
Google ได้ปล่อยออกมาเวอร์ชันหลักของ reCAPTCHA สามเวอร์ชัน โดยแต่ละเวอร์ชันลดความขัดแย้งที่มองเห็นได้ลงสำหรับผู้ใช้ที่ชอบใจ
reCAPTCHA v1 นำเสนอปริศนาข้อความที่บิดเบี้ยวแบบคลาสสิกซึ่งต้องให้ผู้ใช้แปลความหมายตัวอักษรที่งอ แม้ว่าจะมีประสิทธิผลในตอนแรก แต่ในท้ายที่สุดแนวทางนี้ก็ถูกความรู้จำเพื่อการเรียนรู้ของเครื่องให้สิ้นสุด
reCAPTCHA v2 นำเสนอช่องทำเครื่องหมาย “ฉันไม่ใช่หุ่นยนต์” ที่คุ้นเคยในปัจจุบัน อยู่เบื้องหลังการคลิกนั้น เครื่องยนต์ความเสี่ยงของ Google วิเคราะห์ Fingerprint ของสัญญาณพฤติกรรม: วิถี การเคลื่อนไหวของเมาส์ รูปแบบการกำหนดเวลาของการพิมพ์คีย์ที่นำไปสู่การคลิก แอตทริบิวต์อุปกรณ์และเบราวเซอร์ และประวัติการเรียดดูเบื้องหน้าที่เกี่ยวข้องกับ cookies ของ Google ของผู้ใช้ เซสชันที่น่าสงสัยได้รับความท้าทายการเลือกภาพรองลงมา (เช่น “เลือกไฟจราจรทั้งหมด”)
reCAPTCHA v3 เป็นเวอร์ชันที่ Google แนะนำในปัจจุบันนั้นไม่มองเห็นอย่างสิ้นเชิง มันทำงานต่อเนื่องในเบื้องหลังและส่งกลับคะแนน floating-point ระหว่าง 0.0 (ต่างหาก บอท) และ 1.0 (ต่างหากมนุษย์) เจ้าของไซต์ตัดสินใจว่าเกณฑ์คะแนนใดทำให้เกิดการบล็อก ความท้าทายรองลงมา หรือการยืนยันเพิ่มเติม ไม่จำเป็นต้องมีการโต้ตอบของผู้ใช้เลยสำหรับเซสชันที่มีความเชื่อถือสูง
เมื่อใดที่ใช้ reCAPTCHA
แพลตฟอร์มประกวดและการโหวตปรับใช้ reCAPTCHA ที่จุดปลายการส่งโหวต แบบฟอร์มการลงทะเบียนบัญชี และบางครั้งหน้าเข้าสู่ระบบ การรวมต้องการการวางทำเล็บสนิปเพ็ต JavaScript เล็กๆ จาก google.com/reCAPTCHA/api.js บนหน้าและการตรวจสอบโทเค็นที่ได้โดยการโพสต์ไปที่ https://www.google.com/reCAPTCHA/api/siteverify พร้อมกับคีย์ลับของไซต์ การตอบสนองฝั่งเซิร์ฟเวอร์มีคำตัดสินแบบผ่าน/ล้มเหลวและสำหรับ v3 คะแนนความเสี่ยงตัวเลข
วิธีการที่โหวตโต้ตอบกับ reCAPTCHA
เมื่อผู้เยี่ยมชมคลิกปุ่มโหวตบนการประกวดที่ได้รับการปกป้อง reCAPTCHA วิดเจ็ตรวบรวมสแนปชอตพฤติกรรมอย่างเงียบๆ และส่งไปยังโครงสร้างพื้นฐานการวิเคราะห์ความเสี่ยงระดับโลกของ Google โทเค็นการตอบสนอง (JWT ที่ลงนาม) ถูกติดอยู่กับการส่งโหวต แบ็กเอนด์ของการประกวดจึงเรียก Google’s API การยืนยันก่อนบันทึกการโหวต บอทที่ไม่สามารถสร้างโทเค็นที่ถูกต้องใหม่ได้ — หรือสร้างโทเค็นที่มีคะแนน v3 ต่ำ — การโหวตของมันจะถูกปฏิเสธเงียบๆ หรือทำเครื่องหมายสำหรับการตรวจสอบ
บริการการซื้อเลือกโหวตจึงต้องได้รับโทเค็น reCAPTCHA ที่ถูกต้องเพื่อส่งการโหวตสำเร็จ Google อัปเดตโมเดลการตรวจจับของตนอย่างต่อเนื่อง ซึ่งหมายความว่าแนวทางที่ใช้ได้ในเดือนก่อนหน้าอาจหยุดทำงานเมื่อเครื่องยนต์ความเสี่ยงฝึกอบรมซ้ำ
รายละเอียดเจ้าของ Google
reCAPTCHA ดำเนินการภายใต้โครงสร้างพื้นฐานของ Google และเงื่อนไขการให้บริการ ระบบของ Google บริหารประวัติการเรียดดูและข้อมูล telemetry พฤติกรรมที่เชื่อมโยงกับบัญชี Google เพื่อปรับปรุงความแม่นยำในการตรวจจับบอท เจ้าของไซต์ลงทะเบียนโดเมนของพวกเขาที่ https://www.google.com/recaptcha/admin เพื่อรับคีย์ไซต์และคู่คีย์ลับ ลูกค้าองค์กรสามารถเข้าถึง reCAPTCHA ผ่านผลิตภัณฑ์ reCAPTCHA Enterprise ของ Google Cloud ซึ่งมีสัญญาณเพิ่มเติม คำอธิบายคะแนนแบบละเอียด และการรับประกันเวลาติดตั้งที่สนับสนุน SLA
การใช้งานที่ชอบใจ
นอกเหนือจากการโหวตประกวด reCAPTCHA ได้รับการปรับใช้ในหน้าเช็คเอาต์ e-commerce เพื่อป้องกันการยัดแคบข้อมูล ประจำตัว ในแบบฟอร์มความเห็นเพื่อบล็อกสแปม ในการไหลการรีเซ็ตรหัสผ่านเพื่อบล็อกความพยายามในการเข้ายึดบัญชีอัตโนมัติ และบนแพลตฟอร์มการขายตั๋วเพื่อป้องกันบอทตัวแสกลเปอร์จากการซื้ออินเวนทอรีอีเวนต์ทั้งหมดภายในมิลลิวินาทีหลังจากการปล่อย
มุมป้องกันการโกง
จากมุมมองด้านการป้องกันการโกง โมเดลการให้คะแนนอย่างต่อเนื่องของ reCAPTCHA v3 มีค่าโดยเฉพาะสำหรับผู้ปฏิบัติงานประกวดเนื่องจากสามารถใช้การให้คะแนนความเสี่ยงกับ pageview ทุกรายการ ไม่ใช่เพียงในช่วงเวลาของการส่งโหวตเท่านั้น รูปแบบที่ผิดปกติ — เช่นการโหวตหลายร้อยรายการมาจากซับเน็ตเดียวกันภายในวินาที หรือเซสชันที่ไม่มีประวัติการนำทางเบื้องหน้า — สามารถทำเครื่องหมายได้ย้อนหลัง ซึ่งช่วยให้สามารถลงคะแนนการโหวตจำนวนมากได้โดยไม่กระทบต่อประสบการณ์ของผู้เข้าร่วมที่แท้จริง
