顶象 · 2023年01月05日 · 浙江

直播回顾 | 这场直播回答了手机银行人机验证的必要性和可行性

人机验证作为手机银行验证体系中重要的一环,其验证码的安全性以及用户体验成为了主要考验。

12 月22 日,顶象资深解决方案专家鳯羽就手机银行的人机验证解决方案讲起,从人机验证需求的诞生、验证码的发展演变、手机银行验证码升级的必要性等方面为大家深度剖析了手机银行人机验证的最优解决方案。

100.png

人机验证需求的诞生

众所周知,验证码的出现是为了对抗机器流量。

但近几年,随着黑灰产逐渐走向专业化、规模化,且有明确的分工配合,其从业人数超千万人,每年给整个行业带来的损失是巨大的,数据泄露问题成为高危问题。

而从整体数据来看,全球机器流量攻击不降反升,尽管全球机器攻击行为经过多年的对抗与治理,但不可否认,机器流量目前仍然占据互联网流量中的较大部分,超过40%的流量是机器行为,其中恶意流量超过总流量1/4。系统层面的机器攻击对抗能力已经遇到瓶颈,无法在不影响业务的情况下进一步提升拦截效率。

为了解决机器流量,验证码正式诞生。

验证码的价值主要表现在以下三方面:

一是真人识别。真人识别的应用主要出现在网站平台或App的注册、登录界面,用于判断操作者是真人还是机器程序。主要是通过识别、输入区分出操作者的真伪。真人识别是验证码出现的初衷,也是验证码的首要价值。

二是安全预警。安全预警的应用主要出现在账号遭遇风险时,例如账号异地登录、更换登录设备、遭遇暴力破解、遭遇陌生人登录时。主要是基于操作者既往的行为、环境、设备等信息,与最新的操作行为进行比对,从而核验该敏感操作是否账户持有人所为。

三是身份核验。身份核验的应用主要出现在账户登录状态下,操作者在服务申请、重要信息发送、隐私信息修改等界面,用于核实账号操作者是否是账户持有者。主要是基于账户预留信息与操作者提交信息比对,从而实现操作者的身份进行二次核验或确认。

验证码自诞生以来,先后经历了从文字验证码到图形验证码再到行为验证码的迭代过程。

目前仍有不少企业仍采用第一代传统图形化验证码来应对黑灰产的批量机器攻击行为,但是当前的技术水平下针对传统图形化验证码的自动化识别已经非常成熟,并且有丰富的配套黑灰产识别脚本软件做支持,导致传统字符验证码并没有起到预想的防控效果,也不具备良好的用户体验不符合国家适老化的要求。

此外,据CNNC第48次中国互联网网络发展状况统计报告显示,截止到2021年6月,60岁以上的网民占比已经达到了12.2%。较2020年的六月份增长了1.9个百分点,也就是说随着老年群体规模的不断扩大,老年人在网民中的占比将进一步的提高。

简言之,网民的增长主体由青年群体向未成年人和老年人群体转化的趋势是非常明显的。

另一方面,越来越多的老年人加入网民大军,他们在享受数字业务带来的生活便利的同时,越来越多的公共服务也从线下搬到了线上,那么老年人无障碍熟练使用的公共服务提出了更高的要求。而传统的验证码因其复杂程度已经无法满足老年人的需求。

因此,适老化问题成为当下验证码亟待解决的问题。

并且目前国家也在全国范围内积极的推动适老化和无障碍改造专项行动,这也迫使的验证码不断的更新迭代。

可以看到,验证码从最初的图文验证码发展到行为验证码再到智能验证码,经历了先后四次迭代,不断提升验证码的破解难度以及用户体验。

手机银行为什么要升级验证码?

手机银行作为人机验证的重要环节,在很多业务中都有它的身影,验证的种类和形式也非常多。

比如说,针对反欺诈风险去做验证,其目的就是去做真人识别,验证是否是真实的用户在进行操作,验证的方式可以通过名单验证、人机验证。

名单验证主要是通过手机号和IP黑名单这些主流的数据名单做验证。人机验证则是通过验证码去做验证。

对于验证的方式,可能有传统的密钥验证、手机验证、动态验证码、人机验证、三方的授权验证、生物验证等等,这些不同的验证方式之间也并没有互相替代的关系,在不同的业务场景有不同的风险,不同的用户体验。

此外,当前还是有很多银行还在使用传统的验证码,正如前文所说,传统验证码存在诸多弊端,容易被破解,也不符合无障碍适老化的需求。

随着移动互联网的高速发展,业务安全领域的攻防对抗也越来越激烈,而验证码往往是最容易被忽略的环节,因此也成为了黑灰产的首要目标。

诸如羊毛党刷单、自动注册机、撞库等恶意行为层出不穷。

整体来看,验证码能够带给企业业务的收益是非常大的。

首先,验证码适用于多个业务场景,可在账户内场景下使用,比如说登录页面、注册页面、活动场景(积分、优惠券、红包)、辅助校验类场景等等,可以其到防爆破、防模拟等等具备高频机器特征的场景中去。

其次,验证码对于业务带来的收益是十分明显的。

包括简化多次发送短信弹图片验证的代码、.防短信轰炸,灵活调整认证等级,全局控制验证码展示及强度,降低风险、可将长期保持脚本登录状态的用户过滤,加强登录态刷新的安全性、代码更简单、增强用户感知、安全性更高、可实现积分抽奖中原通过缓存实现的多次抽奖控制,更可靠、微信手机验证码中增加无感,可简化原发送次数代码,并使业务逻辑更清晰。

更为重要的是,对于机器流量的防范,验证码是同类产品中影响最小、效率最高的。但正是因为其相对简单的产品特性,很多企业都忽视了它的重要性,老式验证码不仅没有解决安全问题,还给用户带来了业务体验上的下降。反之,关注用户体验的业务才能收获更多用户,正所谓不积跬步,无以至千里。不积小流,无以成江海。

对于金融行业来说,监管一直都是一把利剑。

2020年2月,中国人民银行正式发布JR/T0068-2020《网上银行系统信息安全通用规范》对网上银行验证码提出了具体要求。要求网上银行的验证码应随机产生,采取图片底纹干扰、颜色变换、设置非连续性及旋转图片字体、变异字体显示样式、交互式认证等有效方式,防止验证码被自动识别。验证码应具有使用时间限制并仅能使用一次。

同年3月,中国人民银行发布《移动金融客户端应用软件安全管理规范》,要求各金融机构加强客户端软件设计、开发、发布、维护等环节的安全管理,构建覆盖全生命周期的管理机制,切实保障客户端软件安全。其中,在身份认证安全中强调,若采用图形验证码作为验证的辅助要素,图形验证码应具有使用时间限制并仅能使用一次,图形验证码应由服务器生成,客户端源文件中不应包含图形验证码文本内容。

不难看出监管对于金融业无障碍适老化的要求,这些都促使手机银行的验证码的不断升级迭代。

手机银行人机验证的最优解决方案

那么,对于手机银行而言,最优的人机验证解决方案应该是怎样的?它需要具备哪些特点呢?

首先,验证码已经不单单是一个验证产品,除了其本身赋予的安全能力,我们也可以实现对验证码赋能。比如顶象的防御云。

在这个基础上,顶象推出了第五代智能验证码。

新一代智能验证码结合了设备指纹、行为特征、访问频率、地理位置等多项信息,有效的拦截恶意登录、批量注册,阻断机器操作,拦截非正常用户,较传统验证码相比,用户无需再经过思考或输入操作,只需轻轻一滑即可进行验证。经过智能鉴别为正常的用户,在一定时间内无需再进行滑动操作,既为银行提供了安全保障也让用户无感知通过,极大提升金融用户的用户体验。

同时,可提供13种验证方式,包含12种不同形式的视觉验证和11种面向老年人及残障人士的语音验证,并将持续研究拓展升级。

并且可以根据企业风格针对性定制专属皮肤,适配手机暗黑模式。

充分响应国家适老化无障碍的要求,将体验糟糕的传统字符验证码进行升级替换为更容易被用户接受的滑块验证,并支持配合适老化工具或浏览器进行统一放大;除基于视觉的滑块验证外,提供基于不同感官的验证方式,满足老年人和残障人士在不同场景上使用时的优化诉求;支持通过内置的专家策略面向开启无障碍模式的用户,可以前端完全不弹出验证码,满足了适老化人群的使用要求,极大了提升了用户体验。

另外,验证码产品本身需要有多层防控的可信链路,让破解难上加难。

与此同时,顶象智能验证码内置专家规则和训练的人机模型,覆盖风险点,涉及设备信息篡改、异常轨迹、异常关联、核验信息不一致等多个方面。

在设备维度,我们会去检验设备指纹合法性,IP的风险异常,设备的检测浏览器的UA是否一致,分辨率是否一致,有没有篡等。在验证环节,我们会通过人机模型去做轨迹模型的检测,轨迹耗时的检测,异常轨迹的检测等,然后会去检测行为以及业务侧的行为特征等,能够实现毫秒级匹配风险特征。

作为防御云的一部分,顶象智能验证码更像是一套微型的决策引擎风控系统,拥有5903个模型策略、8859条规则,覆盖大多数金融业务场景,防控精准度大于99.9%。

一套完善的监控体系可以让风险透明化啊,也就是说我们看到的不仅仅只是一个验证行为的成功与失败,我们还能够看到它的一些业务参数、用户的user ID、请求IP、IP归属地、指纹、整个验证的详情,验证耗时等都可以从日志中去看到啊,不仅可以通过这套监控体系去监控验证方面的风险,还可以从日志中去看出验证方式进而优化验证策略,帮助推动业务。

正所谓,知己知彼方能百战百胜,一套完整的业务情报能够帮助企业及时感知风险、防御风险。

最后,一整套高可用的系统架构能够保障我们的业务在大并发情况下,那个整个系统不出问题,能够保障我们的业务正常运作。

最后再给大家简单介绍下顶象业务安全大讲堂。

顶象业务安全大讲堂汇集了业内大咖,分享万亿级业务安全攻防经验,打造时下最专业的业务安全直播课,通过“技术+方案+实践”三大核心专题,带您全面了解金融、互联网、航旅出行、跨境电商以及目前大热的NFT等各类业务风险及防范手段,深入解析背后的产品技术,抽丝剥茧攻防实战,助您打造零风险的数字业务。

下期课程将顶象技术总监大卫老师给大家带来《业务安全平台核心模块技术解析-验证码》的主题演讲,敬请期待!

业务安全大讲堂:https://link.zhihu.com/?targe...
业务安全产品:https://link.zhihu.com/?targe...
业务安全交流群:https://link.zhihu.com/?targe...

推荐阅读
关注数
6
文章数
221
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息