極光開發(fā)者大會(huì)重點(diǎn)摘錄：極光產(chǎn)品總監(jiān)張希談一鍵認(rèn)證產(chǎn)品

張希，2014年加入極光，極光企業(yè)級(jí)IT服務(wù)領(lǐng)域的資深專家。先后參與了極光開發(fā)者產(chǎn)品線中JPush及JAnalytics的開發(fā)、技術(shù)支持及產(chǎn)品研發(fā)等工作，對(duì)于如何利用極光的各種開發(fā)者產(chǎn)品幫助開發(fā)者降低開發(fā)難度、完善產(chǎn)品功能、提升運(yùn)營能力有著深刻理解。

在11月17日的極光開發(fā)者大會(huì)上，張希攜極光開發(fā)者服務(wù)的全新產(chǎn)品——極光認(rèn)證正式亮相，并帶來了《極光開發(fā)者為安全站崗》的主題演講。

他的演講主要包含以下四方面內(nèi)容：

1.驗(yàn)證碼的發(fā)展

2.驗(yàn)證碼能解決哪些問題

3.驗(yàn)證碼是否安全

4.極光認(rèn)證如何解決這一問題

一、認(rèn)識(shí)一下CAPTCHA

這個(gè)英文單詞是一個(gè)縮寫，讀出來是CAPTCHA，中間的t不發(fā)音，翻譯過來是完全的自動(dòng)化的公開圖靈測(cè)試。那么圖靈測(cè)試是做什么的呢?它是用來分別是電腦還是人在操作。目前來看，很多反作弊的領(lǐng)域都用了這個(gè)功能。CAPTCHA的發(fā)明者路易斯•馮安，是一個(gè)企業(yè)家和計(jì)算機(jī)科學(xué)家，也是卡內(nèi)基梅隆大學(xué)計(jì)算機(jī)科學(xué)系的副教授。同時(shí)他也創(chuàng)立了reCAPTCHA公司，并于2009年將這家公司成功出售給谷歌。

接下來我們看他所做的產(chǎn)品雛形最終衍生出來的所有的產(chǎn)品形態(tài)。中間這個(gè)圖至今還在延用，它在谷歌所有的產(chǎn)品線上做人機(jī)驗(yàn)證的測(cè)試。雖然說在國內(nèi)用谷歌是不太合適的一件事情，現(xiàn)在都在反對(duì)，但是我估計(jì)很多從業(yè)者應(yīng)該都是見過這個(gè)東西的。

第一個(gè)圖是我們經(jīng)常收到短信驗(yàn)證碼的收件箱的通知圖，還有一個(gè)最近衍生出來的通過拖動(dòng)劃塊完成拼圖做的一個(gè)人機(jī)驗(yàn)證，最終它達(dá)到的目的是識(shí)別人還是計(jì)算機(jī)。

二、驗(yàn)證碼的發(fā)展

這張圖是一個(gè)密?？ǎ也恢来蠹矣袥]有接觸過這種產(chǎn)品。在2000年-2010年之間，如果有玩過魔獸世界這款網(wǎng)游的，尤其是網(wǎng)易代理的時(shí)候，大家應(yīng)該人手一個(gè)密?？ǎ斎霗M坐標(biāo)縱坐標(biāo)指定的一個(gè)位置，然后來驗(yàn)證是不是你這個(gè)帳戶綁定的那張密寶卡，從而達(dá)到你在網(wǎng)絡(luò)游戲中的資產(chǎn)安全。

當(dāng)時(shí)在網(wǎng)絡(luò)銀行，這種密?？ㄊ亲钪饕亩悟?yàn)證的一種方式。之后密?？ㄉ?jí)成了u盾。最后一張是名極一時(shí)的12306最開始創(chuàng)立的一種驗(yàn)證碼形式，是一種圖像識(shí)別的驗(yàn)證碼。

三、驗(yàn)證碼主要解決的問題

首先第一個(gè)問題就是計(jì)算機(jī)安全，也就是CAPTCHA所解決的主要問題。用來辨別人還是計(jì)算機(jī)從而保護(hù)計(jì)算機(jī)操作上的一些安全，防止自己的api不被惡意盜刷，或者是自己的用戶系統(tǒng)不被盜刷，也是現(xiàn)在反作弊領(lǐng)域主要用的一種方式之一。

第二個(gè)就是財(cái)產(chǎn)安全。像剛才介紹的密保卡，或者是網(wǎng)銀的u盾也好，這些本質(zhì)上是除密碼之外，我們所使用網(wǎng)絡(luò)轉(zhuǎn)帳時(shí)候做的二次認(rèn)證的一個(gè)方式，它所解決的問題是財(cái)產(chǎn)安全的問題。

第三個(gè)就是信息安全。現(xiàn)在大家人均手機(jī)上應(yīng)該有至少20款app，基本上每一款app都有帳戶登錄的功能。為了安全起見，我們肯定會(huì)為每一個(gè)app或者郵箱系統(tǒng)設(shè)立獨(dú)立的密碼。在這種安全的使用方式之下會(huì)導(dǎo)致我們可能經(jīng)常忘記登錄密碼，通常找回密碼的方式肯定是需要做一個(gè)自己的手機(jī)號(hào)碼的驗(yàn)證碼發(fā)送，給這個(gè)app證明是我自己在重置我的用戶名和密碼，在這種情況下驗(yàn)證碼保障的是個(gè)人在網(wǎng)絡(luò)上的信息安全。

四、驗(yàn)證碼帶來的問題

咱們來看一下最近經(jīng)常有一些突發(fā)的新聞?？傮w的過程基本上就是手機(jī)收到一堆驗(yàn)證碼，收到一堆轉(zhuǎn)帳提醒，提示自己的支付寶帳戶被掏空。我們來簡(jiǎn)單的復(fù)盤一下整體的過程，經(jīng)?？吹叫侣?dòng)袌?bào)道，但是可能有些人不太明白最終是一個(gè)什么事情。首先要引入一個(gè)大家可能會(huì)聽說過的一個(gè)概念，也就是GSM短信嗅探。如果攻擊者想在你的手機(jī)上盜走你的財(cái)產(chǎn)的話，首先基本上流程是這樣的，首先他要假設(shè)一個(gè)2G偽基站在你附近，通過信號(hào)干擾器將你的手機(jī)從現(xiàn)在經(jīng)常會(huì)用的4G或者是3G強(qiáng)制降級(jí)至2G，讓手機(jī)信號(hào)連接到自己的偽基站上。

這種情況下其實(shí)這個(gè)攻擊者已經(jīng)完全掌控了你的手機(jī)，掌控的是哪一部分呢?就是你手機(jī)上所有的app，他能通過手機(jī)號(hào)跟驗(yàn)證碼執(zhí)行操作。這個(gè)是非?？膳碌模?yàn)槲覀儸F(xiàn)在對(duì)手機(jī)號(hào)跟手機(jī)驗(yàn)證碼功能的依賴是非常強(qiáng)的。

那么安全是一個(gè)相對(duì)的安全嗎?我們看一下攻擊者的犯罪成本，首先GSM協(xié)議漏洞。我認(rèn)為這本身不是漏洞，因?yàn)楸旧硪?guī)則上面短信就是明文傳輸?shù)?，它的安全保障是靠協(xié)議的安全去保障，基于第一點(diǎn)看第二點(diǎn)，GSM協(xié)議其實(shí)已經(jīng)被開源實(shí)現(xiàn)，在所有的開源社區(qū)上大家應(yīng)該都能找到相關(guān)的代碼，這也意味著第一點(diǎn)所謂的協(xié)議安全基本上已經(jīng)不存在了，當(dāng)然實(shí)際上要實(shí)現(xiàn)開源的東西還是有一點(diǎn)點(diǎn)困難的。

接下來看一下網(wǎng)絡(luò)上推薦的保護(hù)做法：

第一種說盡可能更換4G手機(jī)，提升手機(jī)防御等級(jí)，增加攻擊難度。實(shí)際上作案者或者是攻擊者可以通過干擾器讓你的手機(jī)從4G強(qiáng)制降級(jí)到2G的。這種方法雖然在日常生活中能有一定的保障，但是實(shí)際上效果不是特別的好。

第二種是平時(shí)保護(hù)好個(gè)人信息，包括身份證號(hào)、銀行卡號(hào)等敏感信息。

第三種是關(guān)閉手機(jī)移動(dòng)信號(hào)，只用家用的辦公室等的安全WiFi上網(wǎng)，這一點(diǎn)我認(rèn)為有其不便利性。

最后一點(diǎn)我認(rèn)為是最有用的，睡前要關(guān)機(jī)或者設(shè)置飛行模式，讓手機(jī)無法接收短信，為什么說是最有用的。因?yàn)槲覀兓仡^去看一些新聞，包括我的資金被非法轉(zhuǎn)移的一些新聞收到驗(yàn)證碼，它的作案時(shí)間都是在晚上，因?yàn)橐归g攻擊者是有一個(gè)完整的作案時(shí)間。讓你在不被發(fā)現(xiàn)或者不在中途干擾操作的情況下能夠?qū)嵭兴械姆缸锸侄危哉f睡前關(guān)機(jī)或者設(shè)置飛行模式是一個(gè)非常有用的建議。

當(dāng)然以上這些建議是針對(duì)終端用戶來講。但是對(duì)于開發(fā)者來講，我們還能做什么來保障我們的用戶的信息安全?

五、極光認(rèn)證能做什么？

極光認(rèn)證JVerification整合了三大運(yùn)營商的數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)認(rèn)證能力，為開發(fā)者提供了檢驗(yàn)用戶提供的手機(jī)號(hào)碼和本機(jī)SIM卡號(hào)碼是否一致的一個(gè)功能，優(yōu)化用戶本機(jī)認(rèn)證體驗(yàn)。極光認(rèn)證是極光開發(fā)者業(yè)務(wù)產(chǎn)品線的第六個(gè)產(chǎn)品。

我們來簡(jiǎn)單看一下整體的一個(gè)業(yè)務(wù)流程，也就是大家輸入手機(jī)號(hào)碼、發(fā)起號(hào)碼認(rèn)證、完成登錄注冊(cè)和一些相關(guān)的功能。通過極光認(rèn)證，由用戶輸入手機(jī)號(hào)碼，由app向SDK發(fā)起向運(yùn)營商取號(hào)的請(qǐng)求，拿到取號(hào)單，這些完整的過程都是有數(shù)據(jù)加密的。取號(hào)之后再拿結(jié)合出來的整體數(shù)據(jù)包，包括用戶的手機(jī)號(hào)碼和從運(yùn)營商取到的密文運(yùn)營商去完成認(rèn)證過程，最終完成注冊(cè)和登錄，或者是一些相關(guān)的操作。如果認(rèn)證失敗，開發(fā)者也可以選擇在自己的app添加一些相關(guān)的交互，去轉(zhuǎn)制傳統(tǒng)的短信驗(yàn)證，讓整體的交互流程變的更順暢。

下面我們?cè)賮砜匆恍┗A(chǔ)的應(yīng)用場(chǎng)景。極光認(rèn)證到底能為開發(fā)者帶來什么?首先它能滿足我們所能想到的三個(gè)場(chǎng)景，本機(jī)號(hào)碼登錄注冊(cè)和二次認(rèn)證相關(guān)的。理論上現(xiàn)在我們所用的所有的驗(yàn)證碼的場(chǎng)景其實(shí)都是可以被這個(gè)產(chǎn)品所替代的，那它有什么好處?第一點(diǎn)安全性高，第二點(diǎn)用戶體驗(yàn)好。

我們來仔細(xì)講一講為什么說安全性高。首先認(rèn)證這個(gè)產(chǎn)品，運(yùn)營商為什么要絞盡腦汁想提供這種能力，為什么要給極光這種能力讓極光幫助開發(fā)者解決這個(gè)問題，這是我們剛才所講到的驗(yàn)證碼的安全問題。

第一點(diǎn)就是為什么說安全性高，我們現(xiàn)在所有的數(shù)據(jù)包括從運(yùn)營商拿到的數(shù)據(jù)、給運(yùn)營商的數(shù)據(jù)都是通過高強(qiáng)度的加密算法、加密傳輸?shù)?。第二點(diǎn)，它的開發(fā)本來就是替代傳統(tǒng)的驗(yàn)證碼，來避免之前所說的短信帶來的一些安全上的威脅，所以最終來看它目前來看是相對(duì)安全的一個(gè)產(chǎn)品。

為什么說用戶體驗(yàn)好?我們來看兩個(gè)流程圖，第一個(gè)是傳統(tǒng)的短信驗(yàn)證的流程圖。首先我要用短信驗(yàn)證，要在app上輸入手機(jī)號(hào)碼，開發(fā)者服務(wù)器收到這個(gè)請(qǐng)求后，會(huì)給這個(gè)手機(jī)號(hào)碼發(fā)一個(gè)驗(yàn)證碼。當(dāng)然開發(fā)者服務(wù)器中間還存在生成驗(yàn)證碼的過程，存在存儲(chǔ)問題等。之后這個(gè)請(qǐng)求會(huì)發(fā)到短信平臺(tái)，從短信平臺(tái)再到運(yùn)營商，由運(yùn)營商發(fā)驗(yàn)證到用戶的手機(jī)，用戶看自己的手機(jī)信箱讀到驗(yàn)證碼，輸入app，再到開發(fā)者服務(wù)器，再回來，來完成整個(gè)的認(rèn)證流程。

然后來看一下極光認(rèn)證縮減之后的流程，app只需要經(jīng)過從自己的開發(fā)者服務(wù)器，到極光服務(wù)器再到運(yùn)營商的過程。為什么一定要過極光服務(wù)器呢?因?yàn)檫\(yùn)營商目前對(duì)于認(rèn)證的能力，只對(duì)極光這種服務(wù)提供商開放，這個(gè)是必經(jīng)的路徑。最終極光認(rèn)證系需要經(jīng)過四個(gè)流程，比起傳統(tǒng)的短信驗(yàn)證，壓縮了很多時(shí)間。

我今天的分享就是以上這些。很感謝大家今天來參加極光開發(fā)者大會(huì)，謝謝。

關(guān)于極光

極光(納斯達(dá)克股票代碼：JG)成立于2011年，是中國領(lǐng)先的移動(dòng)大數(shù)據(jù)服務(wù)平臺(tái)。極光專注于為移動(dòng)應(yīng)用開發(fā)者提供穩(wěn)定高效的消息推送、即時(shí)通訊、統(tǒng)計(jì)分析、社會(huì)化組件和短信等開發(fā)者服務(wù)。截止到2018年9月份，極光已經(jīng)為36.9萬移動(dòng)開發(fā)者和99.1萬款移動(dòng)應(yīng)用提供服務(wù)，其開發(fā)工具包(SDK)安裝量累計(jì)近174億，月度獨(dú)立活躍設(shè)備近10.3億部?；诤Ａ繑?shù)據(jù)和洞察積累，極光已將業(yè)務(wù)拓展至大數(shù)據(jù)服務(wù)領(lǐng)域，包括精準(zhǔn)營銷(極光效果通)、金融風(fēng)控、市場(chǎng)洞察以及商業(yè)地理服務(wù)(極光iZone)。極光將繼續(xù)借助人工智能與機(jī)器學(xué)習(xí)為移動(dòng)大數(shù)據(jù)賦能，致力于為社會(huì)和各行各業(yè)提高運(yùn)營效率，優(yōu)化決策制定。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。