跳转到主要内容

CAPTCHA

本文约需 2 分钟阅读

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) 是用于判别访问者是人类还是机器人的验证测试。通过在登录表单和会员注册页面中部署,它可以抑制撞库攻击暴力破解攻击等自动化攻击。截至 2025 年,无需用户操作的"隐形 CAPTCHA"正在成为主流。

现场使用案例

"会员注册表单遭到机器人大量创建垃圾账户的攻击。引入 reCAPTCHA v3 并拦截分数低于 0.5 的请求后,垃圾注册减少了 98%。由于正规用户不会看到 CAPTCHA 挑战,因此对转化率没有任何影响。"

CAPTCHA 的演变

早期的 CAPTCHA 采用让用户读取扭曲文字图像的方式,但随着 OCR 技术的进步逐渐被攻破。 reCAPTCHA v2 将"我不是机器人"复选框与图像选择任务相结合,而 reCAPTCHA v3 则对用户的行为模式 (鼠标移动、滚动速度、页面停留时间) 进行评分并在后台进行判定。 hCaptcha 作为注重隐私的替代服务,采用率正在不断提高。机器人防护书籍 (Amazon)可供您系统地学习。

部署时的考量

CAPTCHA 是安全性与用户体验之间的权衡。过于困难的 CAPTCHA 会降低转化率,并对视障用户构成可访问性障碍。通过提供语音 CAPTCHA 或采用基于分数的方式,可以在将用户负担降至最低的同时维持防御效果。将速率限制与 CAPTCHA 相结合,还可以设计成对普通用户不显示 CAPTCHA,仅对短时间内发送大量请求的机器人要求 CAPTCHA。在防御撞库攻击方面,CAPTCHA 是重要的防御手段之一。

CAPTCHA 的局限性

由于 CAPTCHA 破解服务 (由人工手动代为解答 CAPTCHA 的服务) 以及图像识别技术的进步,仅靠 CAPTCHA 进行防御存在局限性。请将在 passtsuku.com 上生成的强密码与 CAPTCHA 结合,构建多层防御。认证安全书籍 (Amazon)也很有参考价值。

相关术语

这篇文章对您有帮助吗?

XHatena