CAPTCHA(验证码)
CAPTCHA(验证码) 是什么?
CAPTCHA(验证码)用于区分真人与自动化机器人的挑战响应测试,常部署在注册、登录与表单提交等环节。
CAPTCHA(全自动区分计算机和人类的公开图灵测试)向用户呈现对人类容易、对机器困难的任务:扭曲文本、图像选择、音频提示或无感的行为分析。Google reCAPTCHA v3、hCaptcha、Cloudflare Turnstile 等服务会基于浏览器信号、IP 信誉和交互模式对每次请求评分。验证码可减少凭据撞库、爬虫、虚假账号注册和评论垃圾,但它不是身份验证,可被机器学习或付费打码农场大规模解出。它也带来无障碍与隐私问题,应作为速率限制、MFA、机器人管理与行为分析等纵深防御的一环使用。
● 示例
- 01
reCAPTCHA v3 对每次请求返回 0.0-1.0 的风险分数。
- 02
登录表单上的 Cloudflare Turnstile 小组件。
● 常见问题
CAPTCHA(验证码) 是什么?
用于区分真人与自动化机器人的挑战响应测试,常部署在注册、登录与表单提交等环节。 它属于网络安全的 应用安全 分类。
CAPTCHA(验证码) 是什么意思?
用于区分真人与自动化机器人的挑战响应测试,常部署在注册、登录与表单提交等环节。
CAPTCHA(验证码) 是如何工作的?
CAPTCHA(全自动区分计算机和人类的公开图灵测试)向用户呈现对人类容易、对机器困难的任务:扭曲文本、图像选择、音频提示或无感的行为分析。Google reCAPTCHA v3、hCaptcha、Cloudflare Turnstile 等服务会基于浏览器信号、IP 信誉和交互模式对每次请求评分。验证码可减少凭据撞库、爬虫、虚假账号注册和评论垃圾,但它不是身份验证,可被机器学习或付费打码农场大规模解出。它也带来无障碍与隐私问题,应作为速率限制、MFA、机器人管理与行为分析等纵深防御的一环使用。
如何防御 CAPTCHA(验证码)?
针对 CAPTCHA(验证码) 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- attacks№ 232
撞库攻击
利用某一服务泄露的大量用户名/密码组合,在其他服务上自动重放登录,利用用户密码复用接管账户的攻击。
- attacks№ 130
暴力破解攻击
系统性地枚举所有可能值(通常是密码、PIN 或密钥),直到找到正确值的攻击。
- network-security№ 118
机器人管理
机器人管理是指识别自动化流量、区分善意机器人与恶意机器人,并据此分别放行、挑战或阻断。
- network-security№ 904
限速
限速对某个标识(IP、用户、API key 或令牌)在一段时间内的请求数量加以约束,用以保护 API 和应用免受滥用、爬取和暴力破解。
- network-security№ 1227
Web 应用防火墙(WAF)
一种反向代理式的过滤器,通过检查 HTTP/HTTPS 流量,在请求到达应用之前阻断 SQL 注入、XSS、机器人滥用等 Web 攻击。
- attacks№ 010
账户接管 (ATO)
犯罪者非法控制合法用户账户,用以盗取资金、数据或实施进一步欺诈的攻击。