Định nghĩa
reCAPTCHA v3 là phiên bản chính thứ ba của dịch vụ CAPTCHA của Google, được phát hành vào tháng 10 năm 2018. Không giống như những người tiền nhiệm — yêu cầu người dùng đánh dấu vào hộp hoặc giải các câu đố hình ảnh — v3 hoàn toàn thụ động. Nó chạy âm thầm trong nền của trình duyệt, quan sát các tương tác của người dùng qua trang và tạo ra một điểm rủi ro số mà chủ sở hữu trang web sử dụng để quyết định cách xử lý phiên. Một điểm 1.0 đại diện cho sự tin tưởng cao rằng khách truy cập là con người; một điểm 0.0 chỉ ra lưu lượng tự động gần như chắc chắn.
Hệ thống xây dựng trên cơ sở hạ tầng của reCAPTCHA v2 nhưng loại bỏ ma sát của các thử thách người dùng rõ ràng. Mục tiêu được nêu của Google là loại bỏ tương tác “Tôi không phải là robot” hoàn toàn cho phần lớn người dùng hợp pháp, giảm tỷ lệ từ bỏ giỏ hàng và tỷ lệ rời bỏ biểu mẫu trong khi duy trì hoặc cải thiện phạm vi phát hiện bot.
reCAPTCHA v3 hoạt động như thế nào
reCAPTCHA v3 hoạt động thông qua một thư viện JavaScript được tải từ https://www.google.com/recaptcha/api.js. Sau khi tải, nó bắt đầu thu thập thụ động một dấu vân tay hành vi cho phiên hiện tại. Các tín hiệu được thu thập bao gồm các quỹ đạo chuyển động chuột, hành vi cuộn, các mẫu thời gian giữa các phím, chuỗi các tương tác DOM, tuổi và hoạt động của cookie tài khoản Google trong trình duyệt (nếu có) và các đặc điểm mạng của kết nối gốc.
Khi chủ sở hữu trang web muốn đánh giá một hành động cụ thể — chẳng hạn như gửi biểu mẫu hoặc nhấp chuột nút bỏ phiếu — họ gọi grecaptcha.execute(siteKey, {action: 'vote'}). Điều này kích hoạt cơ sở hạ tầng phân tích rủi ro của Google để tính toán điểm cho phiên và trả về một mã thông báo đã ký (JSON Web Token) cho trình duyệt. Mã thông báo sau đó được gửi cùng với dữ liệu biểu mẫu.
Ở phía máy chủ, ứng dụng tiếp nhận gửi mã thông báo đến điểm cuối xác minh của Google tại https://www.google.com/recaptcha/api/siteverify, cùng với khóa bí mật của trang web. Phản hồi của Google bao gồm điểm số, dấu thời gian, tên hành động và xác nhận tên máy chủ. Nhà phát triển ứng dụng đặt một ngưỡng — thường là 0,5 — dưới đó các lần gửi bị chặn, được đánh dấu để xem xét bổ sung hoặc được gửi đến một thử thách thứ cấp như reCAPTCHA v2.
reCAPTCHA Enterprise, cấp được trả tiền có sẵn thông qua Google Cloud, mở rộng v3 với các tín hiệu bổ sung, các giải thích điểm chia nhỏ theo các yếu tố đóng góp, các tính năng người bảo vệ tài khoản và các đảm bảo Thỏa thuận Mức Dịch vụ.
Bạn gặp reCAPTCHA v3 ở đâu
reCAPTCHA v3 được triển khai qua một loạt các tài sản web nơi xác minh không ma sát là một ưu tiên. Các nền tảng cuộc thi và xổ số tích hợp nó tại điểm cuối gửi phiếu bầu và biểu mẫu đăng ký tài khoản. Các nền tảng thương mại điện tử sử dụng nó tại thanh toán để ngăn nhồi nhét thông tin đăng nhập. Các ấn phẩm tin tức sử dụng nó trên các điểm cuối gửi bình luận. Các công ty dịch vụ tài chính áp dụng nó trên các luồng đặt lại mật khẩu và chuyển tiền. Các nền tảng bán vé sử dụng nó để làm chậm các bot ngược trong các đợt bán hàng nhu cầu cao.
Vì v3 vô hình, sự hiện diện của nó trên một trang không rõ ràng đối với những người dùng thông thường — chỉ có các nhà phát triển kiểm tra mã nguồn trang hoặc theo dõi lưu lượng mạng sẽ nhận thấy các cuộc gọi API recaptcha.
Ví dụ thực tế
Một cuộc thi nhiếp ảnh khu vực được lưu trữ trên một microsite tùy chỉnh tích hợp reCAPTCHA v3 tại điểm cuối bỏ phiếu của nó. Mỗi lần gửi phiếu bầu kích hoạt một cuộc gọi grecaptcha.execute. Các lần gửi đạt điểm dưới 0,3 bị âm thầm loại bỏ; các lần gửi giữa 0,3 và 0,5 được ghi nhật ký để xem xét hàng loạt vào cuối cuộc thi; các lần gửi trên 0,5 được ghi lại ngay lập tức. Nhà điều hành cuộc thi xem xét các lần gửi bị giữ lại và loại trừ bất kỳ lần gửi nào chia sẻ dấu vân tay thiết bị hoặc bắt nguồn từ các dải IP tập trung.
Một tổ chức phi lợi nhuận quốc gia vận hành một cuộc thi tài trợ trong đó các phiếu bầu công khai xác định một phần của việc phân bổ tài trợ. Nền tảng sử dụng reCAPTCHA v3 kết hợp với xác nhận email. Điểm CAPTCHA được lưu trữ với mỗi bản ghi phiếu bầu, cho phép quản trị viên thiết lập lại ngưỡng dữ liệu sau khi cuộc thi kết thúc — điều chỉnh hiệu quả độ nhạy từ chối bot ngược dựa trên phân phối điểm quan sát được.
Một chương trình giải thưởng sinh viên trường đại học triển khai reCAPTCHA Enterprise để tận dụng các giải thích điểm. Nhật ký kiểm toán cho thấy rằng một đợt tăng phiếu bầu điểm thấp trên một mục đề cử bắt nguồn từ một mạng con duy nhất, và số phiếu bầu của mục được điều chỉnh tương ứng trước khi người chiến thắng được công bố.
Khái niệm liên quan
reCAPTCHA v3 ngồi cùng với các thế hệ CAPTCHA trước đó trong cùng một hệ sinh thái phát hiện. Mục cơ sở về reCAPTCHA bao gồm các cơ chế v1 và v2 chi tiết. hCaptcha và Cloudflare Turnstile là các hệ thống cạnh tranh cung cấp các sự đánh đổi khác nhau xung quanh quyền riêng tư, loại thử thách và sự phụ thuộc vào nhà cung cấp. Sinh trắc học hành vi mô tả danh mục rộng hơn của đo lường tương tác thụ động làm nền tảng cho cách tiếp cận chấm điểm của reCAPTCHA v3.
Hạn chế / Lưu ý
reCAPTCHA v3 ủy quyền quyết định ngưỡng rủi ro hoàn toàn cho nhà điều hành trang web, tạo ra sự không nhất quán qua các triển khai. Một trang web đặt ngưỡng tại 0,3 chấp nhận lưu lượng bot nhiều hơn đáng kể so với một trang được đặt tại 0,7. Google không công bố các tín hiệu hoặc trọng số cụ thể đằng sau điểm số, làm cho việc kiểm toán độc lập là không thể. Ngoài ra, vì hệ thống dựa một phần vào dữ liệu từ xa của tài khoản Google, người dùng không đăng nhập vào tài khoản Google — hoặc sử dụng các trình duyệt chặn cookie của Google — có thể nhận được điểm thấp hơn so với hành vi của họ sẽ đảm bảo, có khả năng kích hoạt sai dương cho những người bỏ phiếu hợp pháp.
