賬戶(hù)安全在現(xiàn)今互聯(lián)網(wǎng)環(huán)境下一直是一個(gè)備受關(guān)注的話題。賬戶(hù)安全體系對(duì)任何一個(gè)平臺(tái)而言，在保障真實(shí)用戶(hù)個(gè)人信息安全以及良好的平臺(tái)體驗(yàn)層面有著不可分割的作用。本文作者就從業(yè)務(wù)層面淺談一下賬戶(hù)安全體系，主要就目前所涉及的幾個(gè)主要業(yè)務(wù)點(diǎn)進(jìn)行分析。

賬戶(hù)安全作為平臺(tái)風(fēng)險(xiǎn)控制，需要從兩個(gè)維度去履行自己的職責(zé)：一是注冊(cè)方面，需要防控垃圾注冊(cè)減少垃圾賬號(hào)對(duì)平臺(tái)帶來(lái)的損害，主要防控刷單，薅羊毛，垃圾言論等行為，從根本上給平臺(tái)制造一個(gè)清靜的環(huán)境；另一方面則是登錄，需要防止黑產(chǎn)通過(guò)各種手段盜取用戶(hù)的賬號(hào)，從而保障用戶(hù)資金安全以及信息安全等。

目前賬戶(hù)安全體系的防控手段主要在業(yè)務(wù)以及產(chǎn)品兩個(gè)層面，注冊(cè)／登錄業(yè)務(wù)和安全產(chǎn)品。

注冊(cè)業(yè)務(wù)

垃圾注冊(cè)

一般電商網(wǎng)站、O2O平臺(tái)等有補(bǔ)貼、優(yōu)惠券等資金業(yè)務(wù)，垃圾注冊(cè)不可避免。

1、注冊(cè)方式

垃圾注冊(cè)目前有“機(jī)器注冊(cè)”以及“人工手動(dòng)批量注冊(cè)”兩種方式：

（1）機(jī)器注冊(cè)

注冊(cè)機(jī)批量掃注冊(cè)接口，可以利用運(yùn)營(yíng)商提供的臨時(shí)手機(jī)號(hào)實(shí)現(xiàn)短信收發(fā)，完成手機(jī)注冊(cè)。

這一類(lèi)賬號(hào)特點(diǎn)是：

1. 用戶(hù)名相似度高，一般為3～5字中文＋隨機(jī)大小寫(xiě)英文；

2. 注冊(cè)用戶(hù)ip聚合度高，即同個(gè)ip下短時(shí)間聚集大量同一來(lái)源的賬號(hào)；

3. 注冊(cè)請(qǐng)求中大量字段信息為空（設(shè)備指紋、機(jī)型、行為打點(diǎn)數(shù)據(jù)）。（部分黑產(chǎn)可實(shí)現(xiàn)隨機(jī)IP使注冊(cè)賬號(hào)IP不一致；通過(guò)抓包手段獲取注冊(cè)請(qǐng)求后反編譯來(lái)破解我們的安全產(chǎn)品。）

（2）人工注冊(cè)

此類(lèi)用戶(hù)主要為一些薅羊毛用戶(hù)以及刷單用戶(hù)，通過(guò)購(gòu)買(mǎi)（注冊(cè)）一些QQ、微博賬號(hào)去聯(lián)合登錄產(chǎn)生新的賬號(hào)，從而圖得一些小利。

這類(lèi)賬號(hào)特點(diǎn)就比較明顯：

1. 同一設(shè)備下注冊(cè)賬號(hào)數(shù)量多；

2. 同IP下聚集多個(gè)賬號(hào)等。

2、防控手段

目前針對(duì)垃圾注冊(cè)的防控主要是前端安全組件先設(shè)檻，在后端風(fēng)控策略進(jìn)行請(qǐng)求攔截以及成功注冊(cè)賬戶(hù)的清理。

（1）安全組件

目前用于注冊(cè)的安全組件主要是圖形驗(yàn)證碼以及設(shè)備指紋，用來(lái)防機(jī)器大批量刷注冊(cè)接口。

（2）業(yè)務(wù)限制

對(duì)黑產(chǎn)而言，綁定手機(jī)號(hào)是成本最高的限制，因此目前多數(shù)主流的平臺(tái)注冊(cè)均需要用戶(hù)進(jìn)行綁定手機(jī)的限制，從反垃圾注冊(cè)角度來(lái)看，這大大的提高了黑產(chǎn)的注冊(cè)門(mén)檻以及成本。

（3）風(fēng)控策略

現(xiàn)行的策略主要為實(shí)時(shí)以及離線兩類(lèi)，分別是即時(shí)管控（在線拒絕）和 t＋n管控（具體依據(jù)各平臺(tái)自己的策略）。主要的的管控手段從緊到松分為這幾種：禁止訪問(wèn)、強(qiáng)制綁定手機(jī)、強(qiáng)制改密和強(qiáng)制實(shí)名認(rèn)證等方式。兩種方式有各自的利弊，前者直接在線拒絕，若有誤殺則會(huì)對(duì)正常用戶(hù)有較大影響；后者t＋n管控則給了黑產(chǎn)利用賬號(hào)做壞事的時(shí)間，管控可能存在滯后性。

登錄業(yè)務(wù)

登錄防控

當(dāng)賬號(hào)存在一定資金、信息價(jià)值時(shí)，就會(huì)有黑產(chǎn)過(guò)來(lái)通過(guò)各種方式盜取用戶(hù)的賬號(hào)。

1、黑產(chǎn)行為

1. 暴破：窮舉法，用某種暴力破解軟件，一個(gè)接一個(gè)的試，直到試驗(yàn)出正確的密碼，這種破解方式成功率低，耗時(shí)久，技術(shù)成分低，防御門(mén)檻低。

2. 拖庫(kù)：指網(wǎng)站遭到入侵后，黑客竊取其數(shù)據(jù)庫(kù)數(shù)據(jù)，包括數(shù)據(jù)庫(kù)中的用戶(hù)信息（賬號(hào)＋密碼）。

3. 撞庫(kù)：黑客通過(guò)收集互聯(lián)網(wǎng)已泄露的用戶(hù)和密碼信息，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的用戶(hù)。

4. DDos攻擊：分布式拒絕服務(wù)攻擊，簡(jiǎn)單來(lái)說(shuō)就是短時(shí)間內(nèi)向服務(wù)器發(fā)起大量登錄請(qǐng)求，從而致使服務(wù)器癱瘓或者占用占用服務(wù)器資源使正常用戶(hù)無(wú)法登陸。

2、防控手段

（1）基礎(chǔ)安全

從底層服務(wù)器端建立安全機(jī)制，采用waf防火墻拒絕惡意攻擊的請(qǐng)求。

（2）安全組件

一般采用設(shè)備指紋、生物探針、圖形驗(yàn)證等方式去拒絕由機(jī)器發(fā)起的請(qǐng)求，現(xiàn)在各主流網(wǎng)站都會(huì)采用以上幾種安全組件。

（3）安全校驗(yàn)

基于安全產(chǎn)品或者安全校驗(yàn)來(lái)確保用戶(hù)當(dāng)前操作環(huán)境無(wú)風(fēng)險(xiǎn)以及確保當(dāng)前操作為用戶(hù)本人，現(xiàn)有的安全產(chǎn)品主要包括數(shù)字證書(shū)(PC)以及SDK(APP)；二次驗(yàn)證方式主要有短信驗(yàn)證、實(shí)名驗(yàn)證、銀行卡信息驗(yàn)證以及購(gòu)物信息驗(yàn)證等，會(huì)通過(guò)用戶(hù)的一些個(gè)人信息去確保當(dāng)前登錄請(qǐng)求為用戶(hù)本人發(fā)起。

WAF：Web應(yīng)用防護(hù)系統(tǒng)（也稱(chēng)：網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)。英文：Web Application Firewall），是通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來(lái)專(zhuān)門(mén)為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。

設(shè)備指紋：通過(guò)在網(wǎng)站或者移動(dòng)端嵌入前端JS腳本或SDK來(lái)采集終端用戶(hù)環(huán)境的非敏感設(shè)備特征細(xì)信息后采用特征匹配算法而形成的一個(gè)唯一的設(shè)備標(biāo)識(shí)。

生物探針：通過(guò)分析用戶(hù)在頁(yè)面上的行為特征（如鍵盤(pán)敲擊頻率、鼠標(biāo)移動(dòng)速度，點(diǎn)擊位置偏好等），來(lái)識(shí)別當(dāng)前操作者是否是用戶(hù)本人。

安全產(chǎn)品

安全產(chǎn)品

基于安全技術(shù)的用戶(hù)安裝類(lèi)的插件產(chǎn)品以及app內(nèi)部的集成性安全中心。

1、數(shù)字證書(shū)

（1）原理說(shuō)明

數(shù)字證書(shū)采用公鑰體制(RSA)，即利用一對(duì)互相匹配的密鑰進(jìn)行加密/解密、簽名/驗(yàn)簽。當(dāng)用戶(hù)通過(guò)我們的驗(yàn)證后，我們使用證書(shū)認(rèn)證中心（CA）注1給用戶(hù)頒發(fā)證書(shū)，并在服務(wù)端保存用戶(hù)的公鑰。通過(guò)上一步，用戶(hù)有了獨(dú)一無(wú)二的密鑰，這樣就能拿密鑰做一些其他人無(wú)法偽造的事情：對(duì)數(shù)據(jù)、請(qǐng)求進(jìn)行數(shù)字簽名或加密。這樣能保證三點(diǎn)：

1. 真實(shí)性：保證數(shù)據(jù)是簽名者自己發(fā)送的（身份認(rèn)證），簽名者無(wú)法否認(rèn)；

2. 保密性：對(duì)數(shù)據(jù)加密，保證數(shù)據(jù)不被沒(méi)有公鑰的人解密出來(lái)；

3. 防篡改：保證數(shù)據(jù)、請(qǐng)求是簽名后沒(méi)有修改過(guò)。

（2）具體流程

先按照雙方約定將數(shù)據(jù)通過(guò)單向散列算法（HASH）注2計(jì)算得到一個(gè)HASH值（為了保證數(shù)據(jù)在傳輸過(guò)程中沒(méi)有變動(dòng)）；客戶(hù)端使用私鑰對(duì)HASH值進(jìn)行(簽名/加密)，并將HASH值、數(shù)據(jù)和(簽名/加密)結(jié)果一起發(fā)給服務(wù)端；服務(wù)端收到數(shù)據(jù)后，使用HASH算法對(duì)數(shù)據(jù)進(jìn)行比對(duì)，再使用公鑰(簽名/解密)比對(duì)。

（3）應(yīng)用場(chǎng)景

數(shù)字證書(shū)主要用在PC端，可以作為用在用戶(hù)登錄／支付環(huán)節(jié)，檢驗(yàn)用戶(hù)當(dāng)前的操作環(huán)境，如無(wú)風(fēng)險(xiǎn)，則允許用戶(hù)進(jìn)行下一步的操作；若有風(fēng)險(xiǎn)（或未檢測(cè)到數(shù)字證書(shū)信號(hào)）則需要用戶(hù)進(jìn)行校驗(yàn)，確認(rèn)身份后可進(jìn)行下一步操作。

2、安全SDK

（1）功能作用

安全SDK是為移動(dòng)端提供的一套安全組件，它相當(dāng)于移動(dòng)端的數(shù)字證書(shū)，在客戶(hù)端與服務(wù)器的電子交易環(huán)節(jié)中通過(guò)身份驗(yàn)證解決對(duì)客戶(hù)端的信賴(lài)問(wèn)題，提升APP自身以及用戶(hù)的安全性、能夠?yàn)轱L(fēng)控提供一些精準(zhǔn)數(shù)據(jù)做決策、能夠給用戶(hù)更好的使用體驗(yàn)、能夠幫助我們更加容易地打擊惡意用戶(hù)。

（2）應(yīng)用場(chǎng)景

主要用在移動(dòng)端，通過(guò)SDK服務(wù)于掃碼登錄、指紋支付以及電子簽名等業(yè)務(wù)。

3、用戶(hù)安全中心

（1）功能作用

安全中心是前端面向用戶(hù)的產(chǎn)品，將一些用戶(hù)操作信息的展示給用戶(hù)，讓用戶(hù)自主去感知異常，并自主修改密碼，修改綁定手機(jī)等。下述以現(xiàn)在市面常見(jiàn)的安全中心的主功能做了介紹。

（2）功能模塊

1. 安全評(píng)分：用戶(hù)能了解自己賬號(hào)的安全哪里不足。

2. 安全提升：用戶(hù)能夠根據(jù)提示知道如何解決這些不足，提升安全等級(jí)。

3. 異常記錄查詢(xún)：用戶(hù)能查詢(xún)自己賬號(hào)有哪些異常記錄，并根據(jù)提示知道如何解決這些風(fēng)險(xiǎn)。

4. 安全教育：用戶(hù)能學(xué)習(xí)到最常見(jiàn)的安全問(wèn)題以及應(yīng)對(duì)措施。

（3）應(yīng)用場(chǎng)景

1. 用戶(hù)能夠知道自己賬號(hào)安全評(píng)分，并可以根據(jù)提示優(yōu)化自己的評(píng)分。

2. 用戶(hù)可以查詢(xún)自己賬號(hào)的異常操作記錄，自主判斷哪些是有風(fēng)險(xiǎn)的，并可以根據(jù)提示解決。

3. 用戶(hù)能夠?qū)W到一些常見(jiàn)的安全常識(shí)。