Google的全球自适应认证

密码是应用安全的祸根。密码重用现象普遍，数据泄露事件中密码存储不当的情况屡见不鲜，密码难以记忆且容易破解，密码指导规范也不一致。

面对所有这些困难，我们将账户安全的责任完全放在了用户肩上。我们为他们提供了能够提高安全性的工具，但使用起来却很困难，比如多因素认证和密码管理器。但随着每一项新技术的出现，我们又增加了复杂性。例如，SIM卡克隆是否像一些安全专业人士可能让你相信的那样容易或糟糕？

面对所有这些恐惧、不确定性和怀疑，难怪这么多用户未能采取必要措施来妥善保护他们的账户。对于普通互联网用户来说，我们要求他们完成一项不可能的任务。

自适应认证试图改变其中一些情况。通过使用次要的非敏感数据，系统试图了解你是你所声称的人的可能性。如果系统看到你从这个浏览器、操作系统、IP地址、地点以及类似的时间，使用类似的行为登录，那么他们可能会让你更容易登录。如果你的用户名在五分钟后从你的办公室电脑登录后，在法国的一台Ubuntu机器上被使用，也许我们可以检测到这是欺诈活动。

自适应认证可用于使登录更容易，或用于决定每个用户的相对风险。它获得的数据越多，功能就越强大。

我相信，这就是Google第三版reCAPTCHA背后的技术。它不是让你点击路标，而是收集每个用户的行为数据，然后网站所有者可以在登录时向Google询问该用户的风险评级。风险太高，你可能无法登录；风险稍高，可能会要求你使用第二个因素进行认证。

这对普通互联网用户的安全来说可能是一个巨大的福音。这可以在暴露的登录字段之上增加一层风险分析的安全保护。

风险在于，这意味着Google获得了更多关于世界互联网用户的信息。Google通过跟踪cookie跟踪大多数互联网用户，以投放广告和了解用户的购买行为。一些用户通过在计算机上运行广告拦截软件来禁用此跟踪。如果Google想要捕获使用广告拦截器的互联网用户的长尾，与认证集成可能是一种方法。Fast Company发表了一篇关于这方面的黑暗面的深入文章 - Google的新reCaptcha有黑暗面。此外，如果你有兴趣查看返回给系统用户的信息演示，这里有一个快速演示。

你应该启用这个新版本的reCAPTCHA吗？如上所述，启用reCAPTCHA v3有很多价值，但它给了Google更多关于你用户的信息。我的建议是，如果你已经在使用Google的广告平台、分析工具和reCAPTCHA v2，那么升级到这个新版本几乎没有坏处。如果你没有使用这些东西，那么我建议你三思而后行，考虑你为用户提供的价值，以及是否可以在保护他们隐私的同时提供这种价值。