極光開發(fā)者大會重點摘錄：極光產(chǎn)品總監(jiān)張希談一鍵認證產(chǎn)品

張希，2014年加入極光，極光企業(yè)級IT服務領(lǐng)域的資深專家。先后參與了極光開發(fā)者產(chǎn)品線中JPush及JAnalytics的開發(fā)、技術(shù)支持及產(chǎn)品研發(fā)等工作，對于如何利用極光的各種開發(fā)者產(chǎn)品幫助開發(fā)者降低開發(fā)難度、完善產(chǎn)品功能、提升運營能力有著深刻理解。

在11月17日的極光開發(fā)者大會上，張希攜極光開發(fā)者服務的全新產(chǎn)品——極光認證正式亮相，并帶來了《極光開發(fā)者為安全站崗》的主題演講。

他的演講主要包含以下四方面內(nèi)容：

1.驗證碼的發(fā)展

2.驗證碼能解決哪些問題

3.驗證碼是否安全

4.極光認證如何解決這一問題

一、認識一下CAPTCHA

這個英文單詞是一個縮寫，讀出來是CAPTCHA，中間的t不發(fā)音，翻譯過來是完全的自動化的公開圖靈測試。那么圖靈測試是做什么的呢?它是用來分別是電腦還是人在操作。目前來看，很多反作弊的領(lǐng)域都用了這個功能。CAPTCHA的發(fā)明者路易斯•馮安，是一個企業(yè)家和計算機科學家，也是卡內(nèi)基梅隆大學計算機科學系的副教授。同時他也創(chuàng)立了reCAPTCHA公司，并于2009年將這家公司成功出售給谷歌。

接下來我們看他所做的產(chǎn)品雛形最終衍生出來的所有的產(chǎn)品形態(tài)。中間這個圖至今還在延用，它在谷歌所有的產(chǎn)品線上做人機驗證的測試。雖然說在國內(nèi)用谷歌是不太合適的一件事情，現(xiàn)在都在反對，但是我估計很多從業(yè)者應該都是見過這個東西的。

第一個圖是我們經(jīng)常收到短信驗證碼的收件箱的通知圖，還有一個最近衍生出來的通過拖動劃塊完成拼圖做的一個人機驗證，最終它達到的目的是識別人還是計算機。

二、驗證碼的發(fā)展

這張圖是一個密保卡，我不知道大家有沒有接觸過這種產(chǎn)品。在2000年-2010年之間，如果有玩過魔獸世界這款網(wǎng)游的，尤其是網(wǎng)易代理的時候，大家應該人手一個密?？?，輸入橫坐標縱坐標指定的一個位置，然后來驗證是不是你這個帳戶綁定的那張密寶卡，從而達到你在網(wǎng)絡游戲中的資產(chǎn)安全。

當時在網(wǎng)絡銀行，這種密?？ㄊ亲钪饕亩悟炞C的一種方式。之后密?？ㄉ壋闪藆盾。最后一張是名極一時的12306最開始創(chuàng)立的一種驗證碼形式，是一種圖像識別的驗證碼。

三、驗證碼主要解決的問題

首先第一個問題就是計算機安全，也就是CAPTCHA所解決的主要問題。用來辨別人還是計算機從而保護計算機操作上的一些安全，防止自己的api不被惡意盜刷，或者是自己的用戶系統(tǒng)不被盜刷，也是現(xiàn)在反作弊領(lǐng)域主要用的一種方式之一。

第二個就是財產(chǎn)安全。像剛才介紹的密保卡，或者是網(wǎng)銀的u盾也好，這些本質(zhì)上是除密碼之外，我們所使用網(wǎng)絡轉(zhuǎn)帳時候做的二次認證的一個方式，它所解決的問題是財產(chǎn)安全的問題。

第三個就是信息安全?，F(xiàn)在大家人均手機上應該有至少20款app，基本上每一款app都有帳戶登錄的功能。為了安全起見，我們肯定會為每一個app或者郵箱系統(tǒng)設立獨立的密碼。在這種安全的使用方式之下會導致我們可能經(jīng)常忘記登錄密碼，通常找回密碼的方式肯定是需要做一個自己的手機號碼的驗證碼發(fā)送，給這個app證明是我自己在重置我的用戶名和密碼，在這種情況下驗證碼保障的是個人在網(wǎng)絡上的信息安全。

四、驗證碼帶來的問題

咱們來看一下最近經(jīng)常有一些突發(fā)的新聞。總體的過程基本上就是手機收到一堆驗證碼，收到一堆轉(zhuǎn)帳提醒，提示自己的支付寶帳戶被掏空。我們來簡單的復盤一下整體的過程，經(jīng)?？吹叫侣動袌蟮?，但是可能有些人不太明白最終是一個什么事情。首先要引入一個大家可能會聽說過的一個概念，也就是GSM短信嗅探。如果攻擊者想在你的手機上盜走你的財產(chǎn)的話，首先基本上流程是這樣的，首先他要假設一個2G偽基站在你附近，通過信號干擾器將你的手機從現(xiàn)在經(jīng)常會用的4G或者是3G強制降級至2G，讓手機信號連接到自己的偽基站上。

這種情況下其實這個攻擊者已經(jīng)完全掌控了你的手機，掌控的是哪一部分呢?就是你手機上所有的app，他能通過手機號跟驗證碼執(zhí)行操作。這個是非常可怕的，因為我們現(xiàn)在對手機號跟手機驗證碼功能的依賴是非常強的。

那么安全是一個相對的安全嗎?我們看一下攻擊者的犯罪成本，首先GSM協(xié)議漏洞。我認為這本身不是漏洞，因為本身規(guī)則上面短信就是明文傳輸?shù)?，它的安全保障是靠協(xié)議的安全去保障，基于第一點看第二點，GSM協(xié)議其實已經(jīng)被開源實現(xiàn)，在所有的開源社區(qū)上大家應該都能找到相關(guān)的代碼，這也意味著第一點所謂的協(xié)議安全基本上已經(jīng)不存在了，當然實際上要實現(xiàn)開源的東西還是有一點點困難的。

接下來看一下網(wǎng)絡上推薦的保護做法：

第一種說盡可能更換4G手機，提升手機防御等級，增加攻擊難度。實際上作案者或者是攻擊者可以通過干擾器讓你的手機從4G強制降級到2G的。這種方法雖然在日常生活中能有一定的保障，但是實際上效果不是特別的好。

第二種是平時保護好個人信息，包括身份證號、銀行卡號等敏感信息。

第三種是關(guān)閉手機移動信號，只用家用的辦公室等的安全WiFi上網(wǎng)，這一點我認為有其不便利性。

最后一點我認為是最有用的，睡前要關(guān)機或者設置飛行模式，讓手機無法接收短信，為什么說是最有用的。因為我們回頭去看一些新聞，包括我的資金被非法轉(zhuǎn)移的一些新聞收到驗證碼，它的作案時間都是在晚上，因為夜間攻擊者是有一個完整的作案時間。讓你在不被發(fā)現(xiàn)或者不在中途干擾操作的情況下能夠?qū)嵭兴械姆缸锸侄危哉f睡前關(guān)機或者設置飛行模式是一個非常有用的建議。

當然以上這些建議是針對終端用戶來講。但是對于開發(fā)者來講，我們還能做什么來保障我們的用戶的信息安全?

五、極光認證能做什么？

極光認證JVerification整合了三大運營商的數(shù)據(jù)網(wǎng)絡網(wǎng)關(guān)認證能力，為開發(fā)者提供了檢驗用戶提供的手機號碼和本機SIM卡號碼是否一致的一個功能，優(yōu)化用戶本機認證體驗。極光認證是極光開發(fā)者業(yè)務產(chǎn)品線的第六個產(chǎn)品。

我們來簡單看一下整體的一個業(yè)務流程，也就是大家輸入手機號碼、發(fā)起號碼認證、完成登錄注冊和一些相關(guān)的功能。通過極光認證，由用戶輸入手機號碼，由app向SDK發(fā)起向運營商取號的請求，拿到取號單，這些完整的過程都是有數(shù)據(jù)加密的。取號之后再拿結(jié)合出來的整體數(shù)據(jù)包，包括用戶的手機號碼和從運營商取到的密文運營商去完成認證過程，最終完成注冊和登錄，或者是一些相關(guān)的操作。如果認證失敗，開發(fā)者也可以選擇在自己的app添加一些相關(guān)的交互，去轉(zhuǎn)制傳統(tǒng)的短信驗證，讓整體的交互流程變的更順暢。

下面我們再來看一些基礎的應用場景。極光認證到底能為開發(fā)者帶來什么?首先它能滿足我們所能想到的三個場景，本機號碼登錄注冊和二次認證相關(guān)的。理論上現(xiàn)在我們所用的所有的驗證碼的場景其實都是可以被這個產(chǎn)品所替代的，那它有什么好處?第一點安全性高，第二點用戶體驗好。

我們來仔細講一講為什么說安全性高。首先認證這個產(chǎn)品，運營商為什么要絞盡腦汁想提供這種能力，為什么要給極光這種能力讓極光幫助開發(fā)者解決這個問題，這是我們剛才所講到的驗證碼的安全問題。

第一點就是為什么說安全性高，我們現(xiàn)在所有的數(shù)據(jù)包括從運營商拿到的數(shù)據(jù)、給運營商的數(shù)據(jù)都是通過高強度的加密算法、加密傳輸?shù)摹５诙c，它的開發(fā)本來就是替代傳統(tǒng)的驗證碼，來避免之前所說的短信帶來的一些安全上的威脅，所以最終來看它目前來看是相對安全的一個產(chǎn)品。

為什么說用戶體驗好?我們來看兩個流程圖，第一個是傳統(tǒng)的短信驗證的流程圖。首先我要用短信驗證，要在app上輸入手機號碼，開發(fā)者服務器收到這個請求后，會給這個手機號碼發(fā)一個驗證碼。當然開發(fā)者服務器中間還存在生成驗證碼的過程，存在存儲問題等。之后這個請求會發(fā)到短信平臺，從短信平臺再到運營商，由運營商發(fā)驗證到用戶的手機，用戶看自己的手機信箱讀到驗證碼，輸入app，再到開發(fā)者服務器，再回來，來完成整個的認證流程。

然后來看一下極光認證縮減之后的流程，app只需要經(jīng)過從自己的開發(fā)者服務器，到極光服務器再到運營商的過程。為什么一定要過極光服務器呢?因為運營商目前對于認證的能力，只對極光這種服務提供商開放，這個是必經(jīng)的路徑。最終極光認證系需要經(jīng)過四個流程，比起傳統(tǒng)的短信驗證，壓縮了很多時間。

我今天的分享就是以上這些。很感謝大家今天來參加極光開發(fā)者大會，謝謝。

關(guān)于極光

極光(納斯達克股票代碼：JG)成立于2011年，是中國領(lǐng)先的移動大數(shù)據(jù)服務平臺。極光專注于為移動應用開發(fā)者提供穩(wěn)定高效的消息推送、即時通訊、統(tǒng)計分析、社會化組件和短信等開發(fā)者服務。截止到2018年9月份，極光已經(jīng)為36.9萬移動開發(fā)者和99.1萬款移動應用提供服務，其開發(fā)工具包(SDK)安裝量累計近174億，月度獨立活躍設備近10.3億部?；诤Ａ繑?shù)據(jù)和洞察積累，極光已將業(yè)務拓展至大數(shù)據(jù)服務領(lǐng)域，包括精準營銷(極光效果通)、金融風控、市場洞察以及商業(yè)地理服務(極光iZone)。極光將繼續(xù)借助人工智能與機器學習為移動大數(shù)據(jù)賦能，致力于為社會和各行各業(yè)提高運營效率，優(yōu)化決策制定。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。