Utilizzare le funzionalità di Fraud Defense dopo la migrazione

Questa pagina spiega come utilizzare le funzionalità di Fraud Defense, come l'autenticazione a più fattori (MFA) e Password defense, eseguendo la migrazione dell'integrazione reCAPTCHA esistente dal metodo SiteVerify legacy al metodo CreateAssessment. La migrazione al metodo CreateAssessment comporta l'instrumentazione delle pagine web e la migrazione delle chiamate di backend.

Esplorare le funzionalità di Fraud Defense

Dopo aver eseguito la migrazione all'utilizzo del metodo CreateAssessment, puoi utilizzare funzionalità aggiuntive di Fraud Defense, ad esempio:

• Account defense: ti aiuta a proteggere gli account utente da compromissioni e attività fraudolente, come i tentativi di takeover dell'account (ATO).
• Transaction defense: ti aiuta a proteggere le transazioni di pagamento dalle frodi online, come gli attacchi di carding e l'utilizzo di strumenti di pagamento rubati.
• Password defense: ti consente di verificare se una combinazione di nome utente e password fornita da un utente è apparsa in un database noto di violazioni dei dati o divulgazione di password.
• Autenticazione a più fattori (MFA): ti aiuta a verificare l'identità dei tuoi utenti inviando un codice di verifica via email.

Instrumentare le pagine web

Per instrumentare le pagine web con gli script e le chiamate reCAPTCHA corretti, procedi nel seguente modo:

1. Verifica che nelle pagine web sia incluso il seguente script: https://www.google.com/recaptcha/api.js.

2. Nelle pagine web, sostituisci https://www.google.com/recaptcha/api.js con https://www.google.com/recaptcha/enterprise.js.

3. Se richiami l'API a livello di programmazione, sostituisci le seguenti chiamate:

   • grecaptcha.execute() -> grecaptcha.enterprise.execute()
   • grecaptcha.getResponse() -> grecaptcha.enterprise.getResponse()
   • grecaptcha.ready() -> grecaptcha.enterprise.ready()
   • grecaptcha.render() -> grecaptcha.enterprise.render()
   • grecaptcha.reset() -> grecaptcha.enterprise.reset()

Migrare le chiamate di backend

Per utilizzare le funzionalità di Fraud Defense, devi migrare le chiamate di backend ai nuovi endpoint e configurare l'autenticazione:

1. Sostituisci le chiamate di backend a https://www.google.com/recaptcha/api/siteverify con chiamate equivalenti a recaptchaenterprise.googleapis.com. Per l'URL completo e il formato dei dati POST, consulta Creare una valutazione per il tuo sito web.

2. Configura l'autenticazione in reCAPTCHA.

   Il metodo di autenticazione che scegli dipende dall'ambiente in cui è configurato reCAPTCHA. La seguente tabella ti aiuta a scegliere il metodo di autenticazione appropriato e l'interfaccia supportata per configurare l'autenticazione:

   Ambiente	Interfaccia	Metodo di autenticazione
   Google Cloud	REST Librerie client	Utilizza i service account collegati.
   On-premise o un altro cloud provider	REST	Utilizza le chiavi API o la federazione delle identità per i workload. Se vuoi utilizzare le chiavi API, ti consigliamo di proteggerle applicando le restrizioni delle chiavi API.
   	Librerie client	Utilizza quanto segue: Per Python o Java, utilizza le chiavi API o la federazione delle identità per i workload. Se vuoi utilizzare le chiavi API, ti consigliamo di proteggerle applicando le restrizioni delle chiavi API. Per altre lingue, utilizza la federazione delle identità per i workload.

Passaggi successivi

• Creare una valutazione per il tuo sito web
• Monitorare le chiavi reCAPTCHA
• Rilevare la divulgazione di password e le violazioni delle credenziali
• Rilevare e prevenire attività fraudolente correlate agli account sui siti web
• Proteggere le transazioni di pagamento con Transaction defense
• Configurare l'autenticazione a più fattori