賬戶安全在現(xiàn)今互聯(lián)網(wǎng)環(huán)境下一直是一個(gè)備受關(guān)注的話題。賬戶安全體系對任何一個(gè)平臺而言，在保障真實(shí)用戶個(gè)人信息安全以及良好的平臺體驗(yàn)層面有著不可分割的作用。本文作者就從業(yè)務(wù)層面淺談一下賬戶安全體系，主要就目前所涉及的幾個(gè)主要業(yè)務(wù)點(diǎn)進(jìn)行分析。

賬戶安全作為平臺風(fēng)險(xiǎn)控制，需要從兩個(gè)維度去履行自己的職責(zé)：一是注冊方面，需要防控垃圾注冊減少垃圾賬號對平臺帶來的損害，主要防控刷單，薅羊毛，垃圾言論等行為，從根本上給平臺制造一個(gè)清靜的環(huán)境；另一方面則是登錄，需要防止黑產(chǎn)通過各種手段盜取用戶的賬號，從而保障用戶資金安全以及信息安全等。

目前賬戶安全體系的防控手段主要在業(yè)務(wù)以及產(chǎn)品兩個(gè)層面，注冊／登錄業(yè)務(wù)和安全產(chǎn)品。

注冊業(yè)務(wù)

垃圾注冊

一般電商網(wǎng)站、O2O平臺等有補(bǔ)貼、優(yōu)惠券等資金業(yè)務(wù)，垃圾注冊不可避免。

1、注冊方式

垃圾注冊目前有“機(jī)器注冊”以及“人工手動(dòng)批量注冊”兩種方式：

（1）機(jī)器注冊

注冊機(jī)批量掃注冊接口，可以利用運(yùn)營商提供的臨時(shí)手機(jī)號實(shí)現(xiàn)短信收發(fā)，完成手機(jī)注冊。

這一類賬號特點(diǎn)是：

1. 用戶名相似度高，一般為3～5字中文＋隨機(jī)大小寫英文；

2. 注冊用戶ip聚合度高，即同個(gè)ip下短時(shí)間聚集大量同一來源的賬號；

3. 注冊請求中大量字段信息為空（設(shè)備指紋、機(jī)型、行為打點(diǎn)數(shù)據(jù)）。（部分黑產(chǎn)可實(shí)現(xiàn)隨機(jī)IP使注冊賬號IP不一致；通過抓包手段獲取注冊請求后反編譯來破解我們的安全產(chǎn)品。）

（2）人工注冊

此類用戶主要為一些薅羊毛用戶以及刷單用戶，通過購買（注冊）一些QQ、微博賬號去聯(lián)合登錄產(chǎn)生新的賬號，從而圖得一些小利。

這類賬號特點(diǎn)就比較明顯：

1. 同一設(shè)備下注冊賬號數(shù)量多；

2. 同IP下聚集多個(gè)賬號等。

2、防控手段

目前針對垃圾注冊的防控主要是前端安全組件先設(shè)檻，在后端風(fēng)控策略進(jìn)行請求攔截以及成功注冊賬戶的清理。

（1）安全組件

目前用于注冊的安全組件主要是圖形驗(yàn)證碼以及設(shè)備指紋，用來防機(jī)器大批量刷注冊接口。

（2）業(yè)務(wù)限制

對黑產(chǎn)而言，綁定手機(jī)號是成本最高的限制，因此目前多數(shù)主流的平臺注冊均需要用戶進(jìn)行綁定手機(jī)的限制，從反垃圾注冊角度來看，這大大的提高了黑產(chǎn)的注冊門檻以及成本。

（3）風(fēng)控策略

現(xiàn)行的策略主要為實(shí)時(shí)以及離線兩類，分別是即時(shí)管控（在線拒絕）和 t＋n管控（具體依據(jù)各平臺自己的策略）。主要的的管控手段從緊到松分為這幾種：禁止訪問、強(qiáng)制綁定手機(jī)、強(qiáng)制改密和強(qiáng)制實(shí)名認(rèn)證等方式。兩種方式有各自的利弊，前者直接在線拒絕，若有誤殺則會對正常用戶有較大影響；后者t＋n管控則給了黑產(chǎn)利用賬號做壞事的時(shí)間，管控可能存在滯后性。

登錄業(yè)務(wù)

登錄防控

當(dāng)賬號存在一定資金、信息價(jià)值時(shí)，就會有黑產(chǎn)過來通過各種方式盜取用戶的賬號。

1、黑產(chǎn)行為

1. 暴破：窮舉法，用某種暴力破解軟件，一個(gè)接一個(gè)的試，直到試驗(yàn)出正確的密碼，這種破解方式成功率低，耗時(shí)久，技術(shù)成分低，防御門檻低。

2. 拖庫：指網(wǎng)站遭到入侵后，黑客竊取其數(shù)據(jù)庫數(shù)據(jù)，包括數(shù)據(jù)庫中的用戶信息（賬號＋密碼）。

3. 撞庫：黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登錄的用戶。

4. DDos攻擊：分布式拒絕服務(wù)攻擊，簡單來說就是短時(shí)間內(nèi)向服務(wù)器發(fā)起大量登錄請求，從而致使服務(wù)器癱瘓或者占用占用服務(wù)器資源使正常用戶無法登陸。

2、防控手段

（1）基礎(chǔ)安全

從底層服務(wù)器端建立安全機(jī)制，采用waf防火墻拒絕惡意攻擊的請求。

（2）安全組件

一般采用設(shè)備指紋、生物探針、圖形驗(yàn)證等方式去拒絕由機(jī)器發(fā)起的請求，現(xiàn)在各主流網(wǎng)站都會采用以上幾種安全組件。

（3）安全校驗(yàn)

基于安全產(chǎn)品或者安全校驗(yàn)來確保用戶當(dāng)前操作環(huán)境無風(fēng)險(xiǎn)以及確保當(dāng)前操作為用戶本人，現(xiàn)有的安全產(chǎn)品主要包括數(shù)字證書(PC)以及SDK(APP)；二次驗(yàn)證方式主要有短信驗(yàn)證、實(shí)名驗(yàn)證、銀行卡信息驗(yàn)證以及購物信息驗(yàn)證等，會通過用戶的一些個(gè)人信息去確保當(dāng)前登錄請求為用戶本人發(fā)起。

WAF：Web應(yīng)用防護(hù)系統(tǒng)（也稱：網(wǎng)站應(yīng)用級入侵防御系統(tǒng)。英文：Web Application Firewall），是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。

設(shè)備指紋：通過在網(wǎng)站或者移動(dòng)端嵌入前端JS腳本或SDK來采集終端用戶環(huán)境的非敏感設(shè)備特征細(xì)信息后采用特征匹配算法而形成的一個(gè)唯一的設(shè)備標(biāo)識。

生物探針：通過分析用戶在頁面上的行為特征（如鍵盤敲擊頻率、鼠標(biāo)移動(dòng)速度，點(diǎn)擊位置偏好等），來識別當(dāng)前操作者是否是用戶本人。

安全產(chǎn)品

安全產(chǎn)品

基于安全技術(shù)的用戶安裝類的插件產(chǎn)品以及app內(nèi)部的集成性安全中心。

1、數(shù)字證書

（1）原理說明

數(shù)字證書采用公鑰體制(RSA)，即利用一對互相匹配的密鑰進(jìn)行加密/解密、簽名/驗(yàn)簽。當(dāng)用戶通過我們的驗(yàn)證后，我們使用證書認(rèn)證中心（CA）注1給用戶頒發(fā)證書，并在服務(wù)端保存用戶的公鑰。通過上一步，用戶有了獨(dú)一無二的密鑰，這樣就能拿密鑰做一些其他人無法偽造的事情：對數(shù)據(jù)、請求進(jìn)行數(shù)字簽名或加密。這樣能保證三點(diǎn)：

1. 真實(shí)性：保證數(shù)據(jù)是簽名者自己發(fā)送的（身份認(rèn)證），簽名者無法否認(rèn)；

2. 保密性：對數(shù)據(jù)加密，保證數(shù)據(jù)不被沒有公鑰的人解密出來；

3. 防篡改：保證數(shù)據(jù)、請求是簽名后沒有修改過。

（2）具體流程

先按照雙方約定將數(shù)據(jù)通過單向散列算法（HASH）注2計(jì)算得到一個(gè)HASH值（為了保證數(shù)據(jù)在傳輸過程中沒有變動(dòng)）；客戶端使用私鑰對HASH值進(jìn)行(簽名/加密)，并將HASH值、數(shù)據(jù)和(簽名/加密)結(jié)果一起發(fā)給服務(wù)端；服務(wù)端收到數(shù)據(jù)后，使用HASH算法對數(shù)據(jù)進(jìn)行比對，再使用公鑰(簽名/解密)比對。

（3）應(yīng)用場景

數(shù)字證書主要用在PC端，可以作為用在用戶登錄／支付環(huán)節(jié)，檢驗(yàn)用戶當(dāng)前的操作環(huán)境，如無風(fēng)險(xiǎn)，則允許用戶進(jìn)行下一步的操作；若有風(fēng)險(xiǎn)（或未檢測到數(shù)字證書信號）則需要用戶進(jìn)行校驗(yàn)，確認(rèn)身份后可進(jìn)行下一步操作。

2、安全SDK

（1）功能作用

安全SDK是為移動(dòng)端提供的一套安全組件，它相當(dāng)于移動(dòng)端的數(shù)字證書，在客戶端與服務(wù)器的電子交易環(huán)節(jié)中通過身份驗(yàn)證解決對客戶端的信賴問題，提升APP自身以及用戶的安全性、能夠?yàn)轱L(fēng)控提供一些精準(zhǔn)數(shù)據(jù)做決策、能夠給用戶更好的使用體驗(yàn)、能夠幫助我們更加容易地打擊惡意用戶。

（2）應(yīng)用場景

主要用在移動(dòng)端，通過SDK服務(wù)于掃碼登錄、指紋支付以及電子簽名等業(yè)務(wù)。

3、用戶安全中心

（1）功能作用

安全中心是前端面向用戶的產(chǎn)品，將一些用戶操作信息的展示給用戶，讓用戶自主去感知異常，并自主修改密碼，修改綁定手機(jī)等。下述以現(xiàn)在市面常見的安全中心的主功能做了介紹。

（2）功能模塊

1. 安全評分：用戶能了解自己賬號的安全哪里不足。

2. 安全提升：用戶能夠根據(jù)提示知道如何解決這些不足，提升安全等級。

3. 異常記錄查詢：用戶能查詢自己賬號有哪些異常記錄，并根據(jù)提示知道如何解決這些風(fēng)險(xiǎn)。

4. 安全教育：用戶能學(xué)習(xí)到最常見的安全問題以及應(yīng)對措施。

（3）應(yīng)用場景

1. 用戶能夠知道自己賬號安全評分，并可以根據(jù)提示優(yōu)化自己的評分。

2. 用戶可以查詢自己賬號的異常操作記錄，自主判斷哪些是有風(fēng)險(xiǎn)的，并可以根據(jù)提示解決。

3. 用戶能夠?qū)W到一些常見的安全常識。