張希，2014年加入極光，極光企業(yè)級IT服務(wù)領(lǐng)域的資深專家。先后參與了極光開發(fā)者產(chǎn)品線中JPush及JAnalytics的開發(fā)、技術(shù)支持及產(chǎn)品研發(fā)等工作，對于如何利用極光的各種開發(fā)者產(chǎn)品幫助開發(fā)者降低開發(fā)難度、完善產(chǎn)品功能、提升運(yùn)營能力有著深刻理解。

在11月17日的極光開發(fā)者大會上，張希攜極光開發(fā)者服務(wù)的全新產(chǎn)品——極光認(rèn)證正式亮相，并帶來了《極光開發(fā)者為安全站崗》的主題演講。

他的演講主要包含以下四方面內(nèi)容：

1.驗證碼的發(fā)展

2.驗證碼能解決哪些問題

3.驗證碼是否安全

4.極光認(rèn)證如何解決這一問題

一、認(rèn)識一下CAPTCHA

這個英文單詞是一個縮寫，讀出來是CAPTCHA，中間的t不發(fā)音，翻譯過來是完全的自動化的公開圖靈測試。那么圖靈測試是做什么的呢?它是用來分別是電腦還是人在操作。目前來看，很多反作弊的領(lǐng)域都用了這個功能。CAPTCHA的發(fā)明者路易斯•馮安，是一個企業(yè)家和計算機(jī)科學(xué)家，也是卡內(nèi)基梅隆大學(xué)計算機(jī)科學(xué)系的副教授。同時他也創(chuàng)立了reCAPTCHA公司，并于2009年將這家公司成功出售給谷歌。

接下來我們看他所做的產(chǎn)品雛形最終衍生出來的所有的產(chǎn)品形態(tài)。中間這個圖至今還在延用，它在谷歌所有的產(chǎn)品線上做人機(jī)驗證的測試。雖然說在國內(nèi)用谷歌是不太合適的一件事情，現(xiàn)在都在反對，但是我估計很多從業(yè)者應(yīng)該都是見過這個東西的。

第一個圖是我們經(jīng)常收到短信驗證碼的收件箱的通知圖，還有一個最近衍生出來的通過拖動劃塊完成拼圖做的一個人機(jī)驗證，最終它達(dá)到的目的是識別人還是計算機(jī)。

二、驗證碼的發(fā)展

這張圖是一個密?？?，我不知道大家有沒有接觸過這種產(chǎn)品。在2000年-2010年之間，如果有玩過魔獸世界這款網(wǎng)游的，尤其是網(wǎng)易代理的時候，大家應(yīng)該人手一個密?？ǎ斎霗M坐標(biāo)縱坐標(biāo)指定的一個位置，然后來驗證是不是你這個帳戶綁定的那張密寶卡，從而達(dá)到你在網(wǎng)絡(luò)游戲中的資產(chǎn)安全。

當(dāng)時在網(wǎng)絡(luò)銀行，這種密?？ㄊ亲钪饕亩悟炞C的一種方式。之后密?？ㄉ壋闪藆盾。最后一張是名極一時的12306最開始創(chuàng)立的一種驗證碼形式，是一種圖像識別的驗證碼。

三、驗證碼主要解決的問題

首先第一個問題就是計算機(jī)安全，也就是CAPTCHA所解決的主要問題。用來辨別人還是計算機(jī)從而保護(hù)計算機(jī)操作上的一些安全，防止自己的api不被惡意盜刷，或者是自己的用戶系統(tǒng)不被盜刷，也是現(xiàn)在反作弊領(lǐng)域主要用的一種方式之一。

第二個就是財產(chǎn)安全。像剛才介紹的密?？?，或者是網(wǎng)銀的u盾也好，這些本質(zhì)上是除密碼之外，我們所使用網(wǎng)絡(luò)轉(zhuǎn)帳時候做的二次認(rèn)證的一個方式，它所解決的問題是財產(chǎn)安全的問題。

第三個就是信息安全?，F(xiàn)在大家人均手機(jī)上應(yīng)該有至少20款app，基本上每一款app都有帳戶登錄的功能。為了安全起見，我們肯定會為每一個app或者郵箱系統(tǒng)設(shè)立獨(dú)立的密碼。在這種安全的使用方式之下會導(dǎo)致我們可能經(jīng)常忘記登錄密碼，通常找回密碼的方式肯定是需要做一個自己的手機(jī)號碼的驗證碼發(fā)送，給這個app證明是我自己在重置我的用戶名和密碼，在這種情況下驗證碼保障的是個人在網(wǎng)絡(luò)上的信息安全。

四、驗證碼帶來的問題

咱們來看一下最近經(jīng)常有一些突發(fā)的新聞?？傮w的過程基本上就是手機(jī)收到一堆驗證碼，收到一堆轉(zhuǎn)帳提醒，提示自己的支付寶帳戶被掏空。我們來簡單的復(fù)盤一下整體的過程，經(jīng)常看到新聞有報道，但是可能有些人不太明白最終是一個什么事情。首先要引入一個大家可能會聽說過的一個概念，也就是GSM短信嗅探。如果攻擊者想在你的手機(jī)上盜走你的財產(chǎn)的話，首先基本上流程是這樣的，首先他要假設(shè)一個2G偽基站在你附近，通過信號干擾器將你的手機(jī)從現(xiàn)在經(jīng)常會用的4G或者是3G強(qiáng)制降級至2G，讓手機(jī)信號連接到自己的偽基站上。

這種情況下其實這個攻擊者已經(jīng)完全掌控了你的手機(jī)，掌控的是哪一部分呢?就是你手機(jī)上所有的app，他能通過手機(jī)號跟驗證碼執(zhí)行操作。這個是非?？膳碌?，因為我們現(xiàn)在對手機(jī)號跟手機(jī)驗證碼功能的依賴是非常強(qiáng)的。

那么安全是一個相對的安全嗎?我們看一下攻擊者的犯罪成本，首先GSM協(xié)議漏洞。我認(rèn)為這本身不是漏洞，因為本身規(guī)則上面短信就是明文傳輸?shù)?，它的安全保障是靠協(xié)議的安全去保障，基于第一點看第二點，GSM協(xié)議其實已經(jīng)被開源實現(xiàn)，在所有的開源社區(qū)上大家應(yīng)該都能找到相關(guān)的代碼，這也意味著第一點所謂的協(xié)議安全基本上已經(jīng)不存在了，當(dāng)然實際上要實現(xiàn)開源的東西還是有一點點困難的。

接下來看一下網(wǎng)絡(luò)上推薦的保護(hù)做法：

第一種說盡可能更換4G手機(jī)，提升手機(jī)防御等級，增加攻擊難度。實際上作案者或者是攻擊者可以通過干擾器讓你的手機(jī)從4G強(qiáng)制降級到2G的。這種方法雖然在日常生活中能有一定的保障，但是實際上效果不是特別的好。

第二種是平時保護(hù)好個人信息，包括身份證號、銀行卡號等敏感信息。

第三種是關(guān)閉手機(jī)移動信號，只用家用的辦公室等的安全WiFi上網(wǎng)，這一點我認(rèn)為有其不便利性。

最后一點我認(rèn)為是最有用的，睡前要關(guān)機(jī)或者設(shè)置飛行模式，讓手機(jī)無法接收短信，為什么說是最有用的。因為我們回頭去看一些新聞，包括我的資金被非法轉(zhuǎn)移的一些新聞收到驗證碼，它的作案時間都是在晚上，因為夜間攻擊者是有一個完整的作案時間。讓你在不被發(fā)現(xiàn)或者不在中途干擾操作的情況下能夠?qū)嵭兴械姆缸锸侄?，所以說睡前關(guān)機(jī)或者設(shè)置飛行模式是一個非常有用的建議。

當(dāng)然以上這些建議是針對終端用戶來講。但是對于開發(fā)者來講，我們還能做什么來保障我們的用戶的信息安全?

五、極光認(rèn)證能做什么？

極光認(rèn)證JVerification整合了三大運(yùn)營商的數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)認(rèn)證能力，為開發(fā)者提供了檢驗用戶提供的手機(jī)號碼和本機(jī)SIM卡號碼是否一致的一個功能，優(yōu)化用戶本機(jī)認(rèn)證體驗。極光認(rèn)證是極光開發(fā)者業(yè)務(wù)產(chǎn)品線的第六個產(chǎn)品。

我們來簡單看一下整體的一個業(yè)務(wù)流程，也就是大家輸入手機(jī)號碼、發(fā)起號碼認(rèn)證、完成登錄注冊和一些相關(guān)的功能。通過極光認(rèn)證，由用戶輸入手機(jī)號碼，由app向SDK發(fā)起向運(yùn)營商取號的請求，拿到取號單，這些完整的過程都是有數(shù)據(jù)加密的。取號之后再拿結(jié)合出來的整體數(shù)據(jù)包，包括用戶的手機(jī)號碼和從運(yùn)營商取到的密文運(yùn)營商去完成認(rèn)證過程，最終完成注冊和登錄，或者是一些相關(guān)的操作。如果認(rèn)證失敗，開發(fā)者也可以選擇在自己的app添加一些相關(guān)的交互，去轉(zhuǎn)制傳統(tǒng)的短信驗證，讓整體的交互流程變的更順暢。

下面我們再來看一些基礎(chǔ)的應(yīng)用場景。極光認(rèn)證到底能為開發(fā)者帶來什么?首先它能滿足我們所能想到的三個場景，本機(jī)號碼登錄注冊和二次認(rèn)證相關(guān)的。理論上現(xiàn)在我們所用的所有的驗證碼的場景其實都是可以被這個產(chǎn)品所替代的，那它有什么好處?第一點安全性高，第二點用戶體驗好。

我們來仔細(xì)講一講為什么說安全性高。首先認(rèn)證這個產(chǎn)品，運(yùn)營商為什么要絞盡腦汁想提供這種能力，為什么要給極光這種能力讓極光幫助開發(fā)者解決這個問題，這是我們剛才所講到的驗證碼的安全問題。

第一點就是為什么說安全性高，我們現(xiàn)在所有的數(shù)據(jù)包括從運(yùn)營商拿到的數(shù)據(jù)、給運(yùn)營商的數(shù)據(jù)都是通過高強(qiáng)度的加密算法、加密傳輸?shù)?。第二點，它的開發(fā)本來就是替代傳統(tǒng)的驗證碼，來避免之前所說的短信帶來的一些安全上的威脅，所以最終來看它目前來看是相對安全的一個產(chǎn)品。

為什么說用戶體驗好?我們來看兩個流程圖，第一個是傳統(tǒng)的短信驗證的流程圖。首先我要用短信驗證，要在app上輸入手機(jī)號碼，開發(fā)者服務(wù)器收到這個請求后，會給這個手機(jī)號碼發(fā)一個驗證碼。當(dāng)然開發(fā)者服務(wù)器中間還存在生成驗證碼的過程，存在存儲問題等。之后這個請求會發(fā)到短信平臺，從短信平臺再到運(yùn)營商，由運(yùn)營商發(fā)驗證到用戶的手機(jī)，用戶看自己的手機(jī)信箱讀到驗證碼，輸入app，再到開發(fā)者服務(wù)器，再回來，來完成整個的認(rèn)證流程。

然后來看一下極光認(rèn)證縮減之后的流程，app只需要經(jīng)過從自己的開發(fā)者服務(wù)器，到極光服務(wù)器再到運(yùn)營商的過程。為什么一定要過極光服務(wù)器呢?因為運(yùn)營商目前對于認(rèn)證的能力，只對極光這種服務(wù)提供商開放，這個是必經(jīng)的路徑。最終極光認(rèn)證系需要經(jīng)過四個流程，比起傳統(tǒng)的短信驗證，壓縮了很多時間。

我今天的分享就是以上這些。很感謝大家今天來參加極光開發(fā)者大會，謝謝。

關(guān)于極光

極光(納斯達(dá)克股票代碼：JG)成立于2011年，是中國領(lǐng)先的移動大數(shù)據(jù)服務(wù)平臺。極光專注于為移動應(yīng)用開發(fā)者提供穩(wěn)定高效的消息推送、即時通訊、統(tǒng)計分析、社會化組件和短信等開發(fā)者服務(wù)。截止到2018年9月份，極光已經(jīng)為36.9萬移動開發(fā)者和99.1萬款移動應(yīng)用提供服務(wù)，其開發(fā)工具包(SDK)安裝量累計近174億，月度獨(dú)立活躍設(shè)備近10.3億部?；诤Ａ繑?shù)據(jù)和洞察積累，極光已將業(yè)務(wù)拓展至大數(shù)據(jù)服務(wù)領(lǐng)域，包括精準(zhǔn)營銷(極光效果通)、金融風(fēng)控、市場洞察以及商業(yè)地理服務(wù)(極光iZone)。極光將繼續(xù)借助人工智能與機(jī)器學(xué)習(xí)為移動大數(shù)據(jù)賦能，致力于為社會和各行各業(yè)提高運(yùn)營效率，優(yōu)化決策制定。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。