Cloudflare 加強帳號濫用防護
Cloudflare 推出 Account Abuse Protection,鎖定假註冊、外洩憑證與帳號接管。官方稱近一週每天攔下 69 億次可疑登入,企業可先看風險分數與一次性信箱偵測。
Cloudflare 這次不是只在擋 bot。它把焦點拉到帳號濫用。官方說,近一週平均每天攔下 69 億次可疑登入嘗試。這數字很直接。現在的詐騙,早就不是單純腳本亂打而已。
這套新功能叫 Account Abuse Protection。它先開放給 Bot Management 的 Enterprise 客戶。Cloudflare 也說,之後會把它放進 Cloudflare Fraud Prevention。講白了,這是在把登入、註冊、憑證外洩,全部拉進同一個防線。
我覺得這方向很務實。因為攻擊者現在很會混搭。腳本、真人、代理伺服器、外洩資料、AI 工具,全都能一起上。你如果還只看 IP,真的會被玩爛。
為什麼 Cloudflare 要把範圍拉大
訂閱 AI 趨勢週報
每週精選模型發布、工具應用與深度分析,直送信箱。不定期,不騷擾。
不會寄垃圾信,隨時可取消。
以前很多團隊看帳號安全,只問一件事。這是不是機器人。現在這題太小了。更該問的是,這個帳號到底真不真。因為攻擊者可以先用外洩密碼試登入,再用代理輪換位置,最後用真人去補最後一腳。
這種打法很煩。它不會只打你的登入頁。它也會打你的註冊流程、試用方案、推薦獎勵,還有付款前的身份驗證。假帳號一多,廣告費、行銷費、客服成本都會一起上升。說真的,這很像在幫壞人買單。
Cloudflare 之前就丟過一些數字。它說去年有 41% 的登入用了外洩憑證。它也在 2024 年 Black Friday 分析裡提到,超過 60% 的登入頁流量是自動化。這不是邊角料。這是日常環境。
- 去年有 41% 的登入使用外洩憑證。
- 2024 Black Friday 期間,超過 60% 的登入頁流量是自動化。
- 近一週每天攔下 69 億次可疑登入。
- Cloudflare 提到,16 億筆資料的資料庫讓密碼重用更危險。
這次新增了哪些防護
這次最先上的是註冊端的兩個功能。第一個是 Disposable email check。它用來抓一次性信箱。這類信箱常被拿來洗註冊、薅試用、騙活動碼。
第二個是 Email risk。它會把信箱分成 low、medium、high 三種風險等級。這很實際。因為你不用一刀切封鎖所有人。你可以對高風險帳號多做一步驗證,對低風險帳號少打擾。
第三個是 Hashed User IDs。它會把使用者名稱做雜湊,變成每個網域內穩定的識別碼。Cloudflare 說,它不會把明文 username 當成這個功能的一部分去記錄或儲存。這點很重要。因為很多安全工具一碰到使用者資料,就開始往隱私地雷區走。
- Disposable email check 可抓一次性信箱。
- Email risk 分成 low、medium、high 三級。
- Hashed User IDs 會把 username 雜湊成穩定識別碼。
- Cloudflare 說不會記錄或儲存明文 username。
這套東西建在什麼基礎上
Cloudflare 不是從零開始。它在 2024 年就把 leaked credential detection 開放給所有客戶,連 Free plan 都有。它也把 account takeover detection IDs 放進 bot management 架構裡。這次只是把零散功能串起來。
這個串法很重要。因為單看 IP,現在真的不夠。住宅代理、行動網路、雲端跳板,外加 AI 輔助操作,都讓來源判斷越來越不準。你封一個 IP,對方可能 5 分鐘內就換 3 個。
Cloudflare 的做法是把風險往帳號層拉。也就是說,它不只看來源,也看使用者行為。這對電商、金融、社群、SaaS 都有用。因為這些服務最怕的,不是某個 IP 很吵,而是同一個壞人一直換馬甲。
“The core question in this case is not ‘Is this automated?’ but rather ‘Is this authentic?’” — Jin-Hee Lee, Cloudflare
和舊式防護比起來差在哪
傳統 bot 防護很會抓明顯自動化。像是固定節奏、異常標頭、怪異瀏覽器指紋。問題是,現在很多濫用看起來很像真人。甚至就是真人在幫忙操作。這時候只靠 bot 規則,命中率會掉。
Cloudflare 這次把重點放在帳號本身。這代表它想把註冊、登入、風險分數、使用者識別,串成一條線。這條線比單點封鎖更實用。因為詐騙很少只靠一個訊號就得手。
如果拿常見方案來比,大概是這樣:
- 只看 IP:擋噪音有效,但遇到代理輪換就很弱。
- 只看憑證:能抓重複密碼,但抓不到假註冊。
- 看註冊風險:能先擋掉試用濫用和活動碼濫領。
- 看使用者層識別:能把同一個壞人跨裝置、跨地點串起來。
這也解釋了為什麼數據很重要。Cloudflare 說它每天攔下 69 億次可疑登入。這代表問題量級已經很大。對企業來說,手動審核早就不夠用了。你需要的是可自動化的風險分層,不是客服人員一個一個翻。
產業現在為什麼特別需要這類工具
帳號濫用其實跟商業模式綁很緊。只要你的產品有註冊、有試用、有推薦獎勵,就會被盯上。假帳號不只會吃資源,還會污染資料。你之後看成效報表,可能會誤判行銷真的有效。
這也是很多產品團隊現在很頭痛的地方。資料看起來漂亮,實際上是被刷出來的。這種情況下,安全不再只是防守。它也在保資料品質。對開發者來說,這件事很現實。因為你寫的演算法再好,輸入資料爛掉,一樣白搭。
整體來看,Cloudflare 這次的方向,是把 fraud prevention 往更細的帳號層推。它不是只抓網路流量。它在抓行為、身份、註冊風險。這跟過去那種「看起來像 bot 就擋」的思路,差很多。
接下來你該看什麼
如果你有做登入、註冊、試用、推薦碼,這次更新很值得檢查。先看你能不能擋一次性信箱。再看你能不能替信箱或帳號做風險分數。最後看你能不能把異常行為綁到使用者,而不是只綁到 IP。
我會直接下這個判斷:接下來 12 個月,帳號防護會更像身份風險分析,而不是傳統 bot 過濾。誰先把註冊風險和登入真實性做進產品流程,誰就比較不會被假帳號拖著跑。你如果現在還沒做,真的該排進 roadmap 了。