前言

现在随便下载一个APP进行注册,虽然都是用手机号作为注册账号,但还是需要1分多钟才能完成注册流程。先要输入字符验证码证明你是一个真实用户,然后再去请求短信验证,最后输入确认码才算结束。过程中的每个环节都有可能输错重来,用户体验实在不好。

为什么APP的注册流程这么复杂呢?

注册作为网站和APP的重要交互端口,是一切用户行为的源头。但是APP面对的不只是正常的目标用户,还有各种类型的黑产大军。因此注册端口也饱受黑产攻击的困扰。黑产要入侵一般都是先从“攻陷”注册场景开始。攻陷了注册场景后,就可以大批量注册账号,为后续的黑产活动做准备。所以,APP运营者就需要各种安全工具来防范黑产的攻击,开头提到的字符验证码和短信验证码就是现在最主流的安全验证方式。

这种安全方案是如何形成的?

现在大部分的APP为了方便用户快速注册(以及方便获得用户信息)都是利用手机号为媒介进行注册和登录。在这种前提下,为了确认注册者拥有手机号的使用权,短信验证因为用户广泛拥有且方便校验,实现起来非常容易成本也比较小,于是成为了最普遍的身份验证形式。

不过短信验证接口本身也会被黑产利用和攻击,对企业造成额外的威胁的风险。比如各种短信轰炸平台,就会利用各大网站和APP的短信验证接口给指定号码发送验证信息达到短信轰炸的目的。再比如会有竞争对手会恶意攻击短信验证接口,不断请求验证,消耗短信资源增加企业成本。这些攻击的共同点就是都会使用自动化程序在短时间内发起大批量请求。

这背后面对的则是人机(操作)识别的问题。

字符验证码是现在普遍的用来防止机器操作的安全工具。于是运营者会在发送短信验证之前又增加字符验证码。这就是现在我们最常见的APP上的注册流程了。

复杂的注册流程是否能抵挡黑产的强攻呢?

直白的说,互联网上各种短信接码平台实际上就可以通过较低的成本简单的实现大批量的帐号注册。在某宝你可以很轻松搜索到类似的服务。至于传统的字符验证码,在神经网络和图像识别技术突飞猛进的今天,已经能非常高效的识别,更不用提各种打码平台。事实上,当前主流的APP注册流程(字符验证+短信验证)不仅用户操作时间长,而且仍然存在各种安全隐患。

有没有更好的方案?

针对这个问题,最近看到业界内出现一种全新的解决方案,叫做Onepass。不同于现在的注册流程,部署Onepass的APP,用户输入手机号后,直接点击下一步就可以注册成功,几乎将之前用户繁琐的操作成本降低到零。省去了短信验证的步骤,如何确认手机号是否归属于当前操作者呢?Onepass声称是集成的运营商的新型网关验证,通过运营商直接检测当前手机号是否和当前操作设备匹配。

网关验证是什么?

经过了解,简单来说网关验证是在数据网络下,运营商为应用提供网关取号认证功能。用户输入手机号后自动校验是否与数据网络发送方的手机号一致,一致则直接通过验证,不一致则发送短信验证。非数据网络环境下以短信验证补充,实现100% 验证准确率。

网关验证相比短信验证,在安全性上有独特的优势。

上图是整个通信过程的原理,手机端通过数据网络发送请求,经过运营商的核心网络GGSN(即网关设备),网关设备此时通过运营商内部的解析将“手机号”传给运营商服务器。

1.从数据流量到网关、网关到服务器,包括IP、域名、接口等都是运营商内部网络而且有严格的通信认证措施。
2.GGSN取号过程,不依赖手机端的具体明文数据,而是通过运营商内部的硬件加密以及通信加密数据来完成这一工作过程。故在手机端没有可以被模拟、篡改的对象。
3.除上述工作外,运营商还做了更高保护措施。 GGSN还对通往运营商目标域名的请求,做二次检测,如果发现不符合规则的情况,会清楚伪造的数据,以保障安全性。

网关验证虽然是一种高效安全的身份验证方式,但同样是一种运营资源,如果直接暴露在交互场景上同样不能避免机器批量请求消耗成本等恶意行为。所以Onepass里又结合了一种比较新颖的验证技术,叫做Test-button,来保护网关验证。

Test-button是一种按钮式验证,可以隐藏部署在事件按钮上。

Onepass的整个验证流程就是在用户输入手机号点击提交按钮后,首先会经过Test-button的人机检测,如果是真实用户的操作就会再请求网关验证,检测手机号码与当前设备是否匹配,如果检测匹配成功就完成了验证流程,直接进入到下一步。对正常用户来说,不会感知到背后的流程,只会觉得非常简单就完成了注册。简单来说,Onepass就是通过整合新型的验证技术帮助APP运营者进行人机验证和身份验证的同时,帮助用户省去操作字符验证码和短信验证码。

总结

Onepass这种技术方案的优点非常明显,明显提升了用户在数据网络下的交互体验,技术可靠。目前不足的是覆盖场景主要还是注册登录,范围比较小。可能因为近期才推出,所以客户量也不是很多。而对抗黑产的效果,主要还是依赖Test-button的人机鉴别能力。

不过基于对用户体验的提升,应该会有不少的APP运营者会考虑Onepass这种交互验证技术方案。另外可以预期,数据网络的使用成本会继续逐步降低。Onepass覆盖的场景应该会越来越多,这种技术方案的应用范围会更加广泛。

源链接

Hacking more

...