谷歌更新reCAPTCHA機制，圖形驗證即將成為過去時

谷歌已於本周推出最新版本的reCAPTCHA機制，將以往拼圖和複選框的驗證模式替換為背景行為分析，此舉旨在清除網上泛濫垃圾郵件機器人。此版本與之前的reCAPTCHA相比有了巨大的進步——它讓訪問者在登錄網站或進入主頁時不再需要採取任何冗餘步驟。

CAPTCHA的意思是「以完全自動化的公共圖靈測試區分機器和人類」，而reCAPTCHA是谷歌專門設計的CAPTCHA版本。老派的reCAPTCHAs由扭曲的文本密碼和匹配圖片的拼圖組成，訪問者需要解決這些「難關」後才能證明他們真的是「人類」，但是此舉卻並不能給現實中的人們帶來方便，尤其是那些視力有缺陷的人，所以谷歌花了近四年的時間，努力研究出了reCAPTCHA機制——只要求網站訪問者勾選一個方框，就能證明自己「不是機器人」。

2013間的老式reCAPTCHA機制

新推出的reCAPTCHA機制

reCAPTCHA v3與以往版本的最大不同之處在於，它在便捷性上能為用戶帶來更好的體驗。reCAPTCHA v3通過用戶行為分析為每個訪問者「打分」，以確定交互行為的可疑度，接著網站就可以依據分數判斷是否允許訪問者繼續訪問網站。

谷歌負責reCAPTCHA的產品經理Wei Liu於周一時在博客中寫道，

通過用戶行為分析機制，我們將從根本上改變網站測試人類與機器人活動的方式，消除了用戶訪問受阻的不良感受。reCAPTCHA v3可在後台運行適應性風險分析，在阻攔惡意流量的同時也能讓真實用戶在您的站點上享受更「絲滑」的體驗。

Liu沒有詳細說明reCAPTCHA對可疑行為的判定依據，或許是滑鼠移動的特點或點擊的速度。在之前，谷歌還會通過檢查IP地址和Cookie的方式將用戶與其他交互行為相匹配——歷史記錄越長，說明用戶是真人的可能性就越大。

谷歌指出，網站可以通過三種方式利用該分數。最簡單的方法是簡單的設置一個自動閾值，確定用戶何時通過。如果訪問者低於閾值，則實施進一步的驗證，比如雙因素身份驗證或電話驗證，還可以設置多個閾值，以便針對不同類型的流量自定義操作。網站還可以將reCAPTCHA v3集成到自己的代碼中。例如，他們可以將得分與來自用戶配置文件或以往的交互信息相結合來做出判定，或者也可以使用reCAPTCHA分數作為機器學習的訓練模型去對抗泛濫的信息。

reCAPTCHA v3中的另一個功能稱為「Action」。當在多個網站頁面上實施reCAPTCHA v3時，可對用戶的行為進行綜合判定。通過這種方式，reCAPTCHA自適應風險分析引擎可以通過查看網站上不同頁面的活動來更準確地識別攻擊者的模式。這一改變還有助於打消越來越多的網路犯罪分子企圖通過人工智慧打敗reCAPTCHA的念頭。破譯扭曲的文本對AI而言是可行的，但想要模模擬實的人類的上網行為就另當別論了，尤其是對多頁面的訪問。

谷歌的此次發布的新版本，就當前的狀況而言是非常及時的。鑒於CAPTCHA是抵禦自動網路抓取、DDoS攻擊、欺詐性購買等行為的重要工具，如何繞過它始終是地下組織熱衷研究的主題之一。上周Flashpoint分析師也發現了，在某英語暗網網點上，針對CAPTCHA的話題討論趨勢有所上升。

在一個入門級的黑帽SEO論壇上，研究人員看到有人詢問Python和Selenium腳本繞過CAPTCHA的效能，跟帖的人們提出了不同的建議和策略，像是使用各種開源和合法的CAPTCHA繞行服務——其中大部分旨在幫助視力受損或患有閱讀障礙的人。

分析師還就兩種繞過CAPTCHA的非法工具進行了分析：

第一種工具似乎是一款盜版的自動添加好友的社交媒體營銷軟體，而第二種則是一種SEO軟體，經常被威脅行為者用於向論壇和評論區發送垃圾郵件。後者據說能夠「解碼」超過400種默認形式的驗證碼，並且可以通過單獨出售的插件來解碼更多的類型。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！