验证码自2002年诞生起,衍生出了多种类型,从最初的图文验证码到知识型验证码到行为验证码,再到如今的智能无感验证码,验证码厂商们一次又一次地为用户减负增防。
而在智能无感验证方式上,验证码厂商们也在不断优化升级,顶象作为智能无感验证的“开拓者”,更是一直在探索更安全、更便捷的智能无感验证方式。
近日,顶象正式推出了第五代验证码,即新一代智能无感验证。
新一代智能无感验证的一大重要功能是将顶象防御云的能力最大程度的赋能到验证码体系中,不仅加强了第五代验证码的实时对抗能力,更是让第五代验证码拥有了策略、情报、数据,对于业务安全风险有了全面的感知。
那么,第五代验证码的策略情报能力是如何赋能的?
从云端来,到用户体验中去
顶象推出防御云的初衷是实现对行业风险的全面感知。
众所周知,各个企业间其实是存在风险信息差的,也正式因为风险信息差导致各个企业间采用不同的业务安全手段来保护自己业务安全,因而也难免会造成重复建设,浪费资源的情况,且各个业务线之间往往是各自为战,这就导致企业的业务安全风险也是不共通的。
顶象正是看到了这一问题的根源,认为要解决这一问题,我们可以在云端搭建一套云端服务来帮助企业实现风险情报和策略持续共享,进而实现实时响应的联防联控机制。
具体到第五代验证码身上来。
顶象在云端打造了云端情报中心、云端策略中心以及云端数据中心。在云端情报中心用户可以在系统化的沉淀攻防对抗中发现风险以及对应的防御手段,云端策略中心则可根据收集到的风险情报进行防御策略准备,并在云端储备大量的专家规则策略,云端数据中心则可支撑风险数据的日常存储以及分析处理。
举个例子。
当A 客户想要登录某个网站时,首先要输入登录信息并通过验证码来验证其安全性,如果首次登录成功,那么他就会被认定为安全用户,如果该账号多次尝试登录未果,那么,此时验证码就要开始怀疑他的身份,而这一过程会被云端数据中心抓取到数据并进行分析,分析之后表明该用户不是正常用户,或者为疑似风险用户,或者为风险用户。此时,云端情报中心可针对风险标签对该用户进行风险分析并提出针对性的防御手段。云端策略中心则沉淀了多种规则策略,可针对具体的风险做策略防御包。
截止目前,第五代验证码已沉淀了4380个专家策略,121种情报,覆盖24种行业,118种风险类型,并且部分行业,涵盖多个头部客户,1天内就可完成从风险到情报的转化,情报相关数据的处理效率提升1倍,风险模型建设效率提升60%,防控精准度>99.9%,实现了行业第一的风险感知能力,形成了端+云特有的业务安全架构模式,并已作为数字时代业务安全体系架构的建设标准。
同时,第五代验证码自身包含了智能随机验证、滑动拼图验证、文字点选验证、图标点选验证、语序点选验证、刮刮卡验证、空间语义验证、乱序拼图验证、旋转验证、面积验证、差异点击验证等13种验证方式,集成多种攻防对抗配置组合,10秒内配置60秒即可生效,大幅提升了用户体验。
第五代验证码不是终点
世界有尽头,安全无尽头。
今年是顶象走过的第五年,在与黑灰产的无休止的对抗中,我们深知黑灰产团队的“破解能力”也是没有尽头的,每一代的验证码上线一段时间后,受到巨大商业利益的诱惑,总会有黑灰产前去攻击破解,再倒卖识别能力。
每天一个账号“尝试登录”达上千次是常事,而其中往往半数以上的流量都是来自于黑灰产的撞库(指对账号尝试各种常见密码的批量行为,目的是试出正确密码)。
当然,这并不意味着验证码无用或者用户有危险。正如前文所述,我们已经深刻意识到安全策略是组合拳,我们不仅要知其防,更要知其如何防。
顶象推出第五代验证码正是出于此,但这并不是验证码的终点。保障业务安全毋庸置疑是验证码产品的首要能力,但企业对一个与其业务深度融合的产品需求绝不止于此。