此場景面臨的威脅
大量養帳號轉售
帶有持久帳號的遊戲(MMO、MOBA、轉蛋)會吸引帳號農場——機器人把帳號刷到高階,再到灰色市場出售。在註冊處攔截是最便宜的防禦;遊戲內偵測要貴得多。
為掏空道具而接管帳號
對遊戲登入的撞庫攻擊鎖定擁有貴重道具(造型、貨幣、稀有物品)的帳號。一旦進入,攻擊者就轉走道具並棄置該帳號。
為不公平優勢而多開
玩家操作多個帳號來供養主帳號(資源轉移、閃避配對、灌票)。在註冊處放 CAPTCHA 會提高每個分身的成本;不是完整防禦,但是有意義的拖累。
促銷碼/推薦濫用
註冊獎勵、Beta 序號發放與推薦獎勵都是機器人磁鐵。假註冊→領獎勵→退出。在某些 F2P 模式中,分身偵測觸發前獎勵已用真金白銀付出。
遊戲平台中該把 CAPTCHA 放在哪裡
放在遊玩工作階段的邊界。永遠不要放在進行中的對戰裡。
- 帳號註冊
最高價值的佈點。在生成點擋下帳號養殖與多開。
- 登入(初次建立工作階段)
撞庫防禦。自適應難度讓常客無感;可見挑戰只對高風險的少數觸發。
- 密碼重設
接管防禦——忘記密碼是最常被攻擊的復原路徑。
- 遊戲內道具/貨幣購買
店面的盜刷測試防禦。輕度佈點——多數購買本就來自資深帳號。
- 促銷碼兌換
獎勵農場防禦。此處的 CAPTCHA 把濫用從有利可圖變成昂貴。
- 外部網頁流程(帳號復原、客服)
遊戲外流程(網頁版復原、客服表單、轉移請求)是機器人聚集之處,因為它們比遊戲內流程更容易腳本化。
常見問題
遊戲裡放 CAPTCHA 感覺不會很糟嗎?
只有當你把它放進遊玩循環裡才會,而那是你不該做的。放在註冊/登入/密碼重設/購買/促銷兌換的 CAPTCHA 對多數玩家無感(自適應)。看到可見挑戰的玩家通常事出有因——觸發風險的 VPN、全新裝置、來自該 IP 的註冊速度過快。
CAPTCHA 對多開真的有幫助嗎?
部分有。鐵了心的玩家會用手動註冊繞過 CAPTCHA。但大規模多開的主體是自動化的;CAPTCHA 打斷自動化,逼迫每個分身耗費 10 倍以上的人力時間。搭配裝置指紋與行為風險評分,它是分層防禦中有意義的一環。
Steam / Epic / 主機平台身分呢——它們需要另外的 CAPTCHA 嗎?
若玩家透過 Steam / Epic / PSN 認證,平台身分就是你的信任訊號——通常不需要 CAPTCHA。CAPTCHA 對你自家平台擁有的流程才重要(網頁帳號、自訂 email 註冊、帳號合併、客服表單、轉移)。
CaptchaLa 在中國大陸能為我們的亞太玩家運作嗎?
可以。中國大陸境內的原生節點提供與全球玩家相同、低於 100 毫秒的驗證體驗。