极验发布会传送门:https://www.anquanke.com/post/id/87325
产品背景
注册作为网站和APP的重要交互端口,是一切用户行为的源头。黑产要入侵一般也都是先从批量注册帐号开始实现。现在大部分的APP都是利用手机号为媒介进行账号注册。在APP的注册场景,短信验证因为用户绑定性较强,不需要额外设备,用户广泛拥有,校验成本极低。所以实现起来非常容易成本也比较小,成为了非常普遍的身份验证形式。
但是面对当前的黑产技术手段,短信验证在安全性上也存在一定的问题。最简单来说,互联网上各种接码平台实际上往往就可以通过较低的成本简单的实现大批量的帐号注册。
另外,短信验证接口本身也会被黑产利用和攻击,对企业造成额外的威胁的风险。比如各种短信轰炸平台,就会利用各大网站和APP的短信验证接口给指定号码发送验证信息达到短信轰炸的目的。再比如会有竞争对手会恶意攻击短信验证接口,不断底请求验证,消耗短信资源增加企业成本。
APP运营方为了应对这些攻击往往又需要使用更多地安全策略和安全工具来保护短信验证的接口。但是这些手段往往也会被黑产以对应的攻击手段轻易破解。比如为了防止机器批量请求短信验证,大多数人往往会在发送短信验证之前增加字符验证码的环节进行保护。所以用户需要先通过字符验证,再请求短信验证,最后再输入确认码才能完成整个注册流程。这也是现在我们最常见的APP上的注册流程。
(常见APP注册流程示意图)
但是传统的字符验证码,在神经网络和图像识别技术突飞猛进的今天,已经能很简单的识别破解,各种打码平台也可以通过较低成本破解。所以当前主流的APP注册流程(字符验证+短信验证)不仅用户操作时间长,而且仍然存在各种安全隐患。
Onepass
12月7日,一场名为《你好,OnePass!再见,短信验证!》的黑科技分享盛宴在上海和平华美达酒店落下帷幕。作为产品、运营所关注的用户拉新、用户体验;技术、安全关注的数据安全、业务安全;管理层关注的降本增效。极验推出的OnePass新产品将满足以上所有期待!
针对这种形式,极验推出一种全新的解决方案,叫做Onepass。不同于现在的注册流程,部署Onepass的APP,用户输入手机号后,直接点击下一步就可以注册成功,几乎将之前繁琐的操作成本降低到零。
在上述流程中,省去了短信验证的步骤,APP运营方如何能确认手机号是否归属于当前操作者呢?实际上,这里是和国内的三大运营商合作,包括中国电信、中国移动和中国联通,统一接入运营商新型网关验证的方式,通过运营商直接检测当前手机号是否和当前操作设备匹配。
网关验证是在数据网络下,为应用提供网关取号认证功能。用户输入手机号后自动校验是否与数据网络发送方的手机号一致,一致则直接通过验证,不一致则发送短信验证。非数据网络环境下以短信验证补充,实现 100% 验证准确率。
网关验证相比短信验证,在安全性上有比较大的优势。
上图是整个通信过程的原理,手机端通过数据网络发送请求,经过运营商的核心网络GGSN(即网关设备),网关设备此时通过运营商内部的解析将“手机号”传给运营商服务器。
1、从数据流量到网关、网关到服务器,包括IP、域名、接口等都是运营商内部网络而且有严格的通信认证措施。
2、GGSN取号过程,不依赖手机端的具体明文数据,而是通过运营商内部的硬件加密以及通信加密数据来完成这一工作过程。故在手机端没有可以被模拟、篡改的对象。
3、除来上述工作外外,运营商还做了更高保护措施。 GGSN还对通往运营商目标域名的请求,做二次检测,如果发现不符合规则的情况,会清楚伪造的数据,以保障安全性。
总结
网关验证虽然是一种高效安全的身份验证方式,但同样是一种运营资源,如果直接暴露在交互场景上同样不能避免机器批量请求消耗成本等恶意行为。所以Onepass里还结合了一种全新的人机验证技术——Test-button,来保护网关验证。
Test-button是通过生物行为特征和深度学习来鉴别人机行为,同时可以隐藏部署在事件按钮上。
整个流程就是在用户输入手机号点击提交按钮后,首先会经过Test-button的检测,如果是真实用户的操作就会再请求网关验证,检测手机号码与当前设备是否匹配,如果检测匹配成功就完成了注册流程。绝大部份的正常用户是完全不会感知到背后这一整套的流程。
Onepass实际上就是一站式的人机验证+身份验证的解决方案。从此在APP登录注册环节,用户既不用去辨认扭曲复杂的字符验证码,也不用再等待短信验证码的下发,轻松一步到位。不仅在安全保障上有非常大的提升,而且极大的降低了用户的操作成本。
文章原文链接:https://www.anquanke.com/post/id/90110