Google recaptcha 3 и что с ней делать?

[Alexeina66]

Привет username!
Давеча Google выпустил новую рекапчу, которой решил избавить от головной боли юзернеймов, оградив от разгадывания ненавистных изображений.
Судя по докам действия юзера оцениваются от 0 до 1. 0 - это бот, 1 - человек. Ну круто, определили мы и чего дальше-то делать?
Есть у меня форма регистрации, ну определили мы, что зашел бот. Че делаем?
Google предлагает это

With low scores, require 2-factor-authentication or email verification to prevent credential stuffing attacks.

Но чего то как-то не хочется вводить двухфакторку или отправлять письмо на email.

Как лучше-то сделать? Есть опыт внедрения рекапчи 3? Поделитесь.

 

[Q_BASIC]

А смысл есть ограничивать авторизацию ботам?

Я бы сделал ограничения просто на какие-то отдельные функции или другие лимиты на действия, нежели человеку

Часто капчу ставят для защиты от перебора логинов и паролей, но если при правильной паре логин/пароль показывать что они верные и показывать страницу с требованием подтвердить вход - какой смысл? Тут задача у злоумышленника верные пары логин/пароль найти и капча никак не мешает этому

Можно ботам всегда выводить что логин или пароль не верные - это защита от перебора уже. Можно после ввода логина и пароля просто показывать страницу, что, мол, вы бот и не проверять даже логин и пароль

 

[stealthdebuger]

Как лучше-то сделать? Есть опыт внедрения рекапчи 3? Поделитесь.

v3 часто лажает при определении score, зачастую реальному пользователю присваивает 0.1-0.3
смысла доверять данному параметру пока нет

 

[Alexeina66]

v3 часто лажает при определении score, зачастую реальному пользователю присваивает 0.1-0.3
смысла доверять данному параметру пока нет

А смысл есть ограничивать авторизацию ботам?

Я бы сделал ограничения просто на какие-то отдельные функции или другие лимиты на действия, нежели человеку

Часто капчу ставят для защиты от перебора логинов и паролей, но если при правильной паре логин/пароль показывать что они верные и показывать страницу с требованием подтвердить вход - какой смысл? Тут задача у злоумышленника верные пары логин/пароль найти и капча никак не мешает этому

Можно ботам всегда выводить что логин или пароль не верные - это защита от перебора уже. Можно после ввода логина и пароля просто показывать страницу, что, мол, вы бот и не проверять даже логин и пароль

А как тогда защититься от автоматических регистраций?
Сейчас форма выглядит так
1. Email
2. Логин
3. Пароль
4. Капча
5. Чекбокс для принятия правил

Спойлер: Скрин

После регистрации высылается ссылка для активации аккаунта.

 

[autos]

если меньше 0.3 то выходит доп качпа, та же рекапча 2 покатит, ну или свои мануальные капчи или доп вопросы.
нормально все отсеевается. А двухфакторку или емайл это если чел логиниться. А если регается то емайл только на конфирм проверяем, если все капчи прошел )

 

[Alexeina66]

если меньше 0.3 то выходит доп качпа, та же рекапча 2 покатит, ну или свои мануальные капчи или доп вопросы.
нормально все отсеевается. А двухфакторку или емайл это если чел логиниться. А если регается то емайл только на конфирм проверяем, если все капчи прошел )

В идеале конечно бы ввести номер телефона для подтверждения. Отсеиваем всех ботов по сути. Тратить деньги на покупку номера, даже виртуального, сомнительная затея, как по мне.

 

[Q_BASIC]

А как тогда защититься от автоматических регистраций?
Сейчас форма выглядит так
1. Email
2. Логин
3. Пароль
4. Капча
5. Чекбокс для принятия правил

Спойлер: Скрин

После регистрации высылается ссылка для активации аккаунта.

Смысл с том, что если бот, то не надо никаких признаков подавать, что логин и пароль верные или нет. Лучше вообще их не проверять.

Первым делом проверяем капчу, если бот - выводим страницу, что вы бот, и до проверки логина и пароля не доходим