谷歌的全球自适应认证

密码是应用程序安全的祸根。密码重用现象普遍，数据泄露事件中密码存储不当的情况屡见不鲜，密码难以记忆却容易破解，密码指导规范也不一致。

面对所有这些困难，我们将账户安全的责任完全交给了用户。我们提供了一些能让他们更安全但难以使用的工具，如多因素认证和密码管理器。但随着每种新技术的出现，我们又在增加复杂性。例如，SIM卡克隆真的像某些安全专家说的那样容易或严重吗？

在所有这些恐惧、不确定和怀疑中，难怪这么多用户未能采取必要措施来妥善保护他们的账户。对于普通互联网用户来说，我们要求他们完成一项不可能的任务。

自适应认证试图改变其中一些情况。通过使用次要的非敏感数据，系统试图了解您是否如您所声称的那样。如果系统看到您从这个浏览器、操作系统、IP、地点以及类似的时间使用类似的行为登录，那么也许他们会让您更容易登录。如果您的用户名在您从办公室电脑登录五分钟后在法国的一台Ubuntu机器上被使用，也许我们可以检测到这是欺诈活动。

自适应认证可用于使登录更容易，或用于决定每个用户的相对风险。它获得的数据越多，功能就越强大。

我相信，这就是谷歌第三版reCAPTCHA背后的技术。它不是让您点击路标，而是收集每个用户的行为数据，然后网站所有者可以在登录时向谷歌询问该用户的风险评级。风险太高，您可能无法登录；风险稍高，您可能会被要求使用第二因素进行认证。

这对于普通互联网用户的安全来说可能是一个巨大的福音。这可以在暴露的登录字段之上增加一层风险分析的安全保护。

风险在于，这将使谷歌获得更多关于世界互联网用户的信息。谷歌通过跟踪cookie跟踪大多数互联网用户，以投放广告并了解用户的购买行为。一些用户通过在计算机上运行广告拦截器软件来禁用此跟踪。如果谷歌想要捕获使用广告拦截器的互联网用户的长尾，与认证集成可能是一种方法。Fast Company发表了一篇关于这一黑暗面的深入文章——《谷歌的新reCaptcha有黑暗面》。此外，如果您有兴趣查看返回给系统用户的信息演示，这里有一个快速演示。

您应该启用这个新版本的reCAPTCHA吗？如上所述，启用reCAPTCHA v3有很多价值，但它会让谷歌获得更多关于您用户的信息。我的建议是，如果您已经在使用谷歌的广告平台、分析和v2版本的reCAPTCHA，那么升级到这个新版本几乎没有坏处。如果您没有使用这些东西，那么我建议您三思而后行，考虑您为用户提供的价值以及是否可以在保护他们隐私的同时提供这种价值。