以万变钳制黑灰产之变的验证码产品设计逻辑的答案,都在这里!
1月12 日下午,就验证码的攻防对抗问题,顶象反欺诈专家大卫从验证码的破解手段讲起,从防御角度深度剖析如何应对黑灰产的攻击以及验证码在产品能力设计层面应该考虑哪些问题。
直播也吸引了众多关注验证码的观众前来围观,针对验证码的攻防提出了许多问题。我们特地将这些问题整理出来,供大家参考。
Q1:对于接码平台有什么防护办法?
大卫:接码平台一方面要从验证码的防控策略上对抗,通过底层的风险识别能力,识别接码平台的异常,验证码本身需要有较快的迭代更新。第二个是打码平台的工作流程,会有验证码和业务请求不是来自一个环境和设备的情况,可以从这种异常情况去识别。
Q2:js文件加解密更新会不会影响到正常用户?
大卫:js有定期更新的机制,会设置cdn的最大缓存时间,保证不会因为缓存影响用户使用。极端情况是如果一个用户打开一个页面并停留超过一天,有可能会导致js过期,这时候只要刷新页面就可以恢复。
Q3:App端加密算法也会更新吗?
大卫:App端使用webview实现,加密更新机制和js一致。
Q4:验证码插件从哪里获取?
大卫:插件主要面向私有化用户,使用支持插件版本的用户可以向顶象售后支持人员咨询。
Q5:对使用自动化脚本的应该如何防护?
大卫:脚本一方面靠终端风险识别能力来进行识别,另外是脚本可能可以通过几次验证,但一旦批量化运行提交以后,可以通过后台的风控大数据计算进行识别。
Q6:顶象云服务的验证码图片多久更新一次?
大卫:云服务图片是自动更新,两个小时就会更新一次。
Q7:海外用户可以用吗?
大卫:有海外的saas服务。
Q8:能否配置规则让正常用户不弹出验证码,有风险再弹?
大卫:验证码有内置的无感模式,会尽量减少对用户的打扰。如果是想定制业务规则,比如白名单用户不弹验证码,建议是通过风控策略进行控制。
Q9:很多厂商如 b站、微信使用的都是比较简单滑块验证。大卫老师知道这些厂商为什么没有提升验证码难度嘛?
大卫:大厂的风控层面一般是较全面的,验证码可以在底层可以结合账户体系来控制,用风控来补充验证码的能力。
最后再给大家简单介绍下顶象业务安全大讲堂。
顶象业务安全大讲堂汇集了业内大咖,分享万亿级业务安全攻防经验,打造时下最专业的业务安全直播课,通过“技术+方案+实践”三大核心专题,带您全面了解金融、互联网、航旅出行、跨境电商以及目前大热的NFT等各类业务风险及防范手段,深入解析背后的产品技术,抽丝剥茧攻防实战,助您打造零风险的数字业务。
春节后,顶象将开启第二季业务安全大讲堂,第二季业务安全大讲堂将建立安全圈生态,邀约知名大厂安全负责人和技术博主来给大家分享业务安全专业知识,敬请期待!顶象在这里提前预祝大家春节快乐,新的一年“兔”飞猛进。