Google更新reCAPTCHA Enterprise加入账户防护工具

Google公开预览账户防护工具（Account Defender），来进一步打击线上欺诈。该新功能包含在Google的线上欺诈侦测服务reCAPTCHA Enterprise，可供网站拥有者确认用户在网站的操作，是否与过去的典型行为一致。

reCAPTCHA Enterprise可防止脚本、机器人和人类所进行的欺诈和攻击行为，当reCAPTCHA Enterprise安装在网页页面上的行动点，诸如登录、购买和账户创建，该服务能以顺畅的用户体验，允许合法用户继续操作，并且阻挡虚假用户和机器人。

而账户防护工具推进reCAPTCHA Enterprise的侦测方法，能够分析请求，以确保来自特定账户的请求，与该账户过去在所有网站的行为一致，Google解释，账户防护工具所执行的分析，使用特殊的模型来侦测可疑行为和活动变化

该账户防护工具能够发现遭到接管或是假账户的可疑行为，并发现网站上存在类似行为的账户，还能侦测来自被标记为对特定用户可信的设备请求，也就是说，账户防护工具能够限制和停用欺诈账户，避免黑客尝试接管账户，并且只接受来自合法账户的请求，也能减少用户从受信任设备登录时，所产生的使用体验摩擦。

账户防护工具的运行原理，是网站拥有者会对用户生成唯一的隐私散列ID，来自该用户的请求，都必需要包含该散列ID，Google举例，网站所有者会替用户生成像是36228b7496a6ab9bb5fecf12b5799105这样的散列ID，而用户要进行登录、注册、付款和搜索，都必须包含该散列ID。这个方法让reCAPTCHA Enterprise能够构建特定网站的侦测模型，以及时发现遭到劫持或是伪造的账户。

而网站借由使用现有的Annotations API，可以向Google发送账户相关的元数据，包括错误的密码输入或是双重验证等信息，这将有助于reCAPTCHA Enterprise发现可疑的活动模式。根据活动模式，reCAPTCHA Enterprise将回传该请求为用户预期行为，还是可疑登录或账户创建。

当网站集成reCAPTCHA Enterprise的多因素身份验证功能，账户防护工具将会回传操作建议，指示网站再次验证用户与否，以减少真实用户的使用摩擦。在网站侦测到用户欺诈时，便可以使用相关的账户API，进一步搜索类似的用户，而该搜索的结果会分享给其他网站拥有者，以调查这些账户相关的欺诈行为。