文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往
您找到你想要的搜索结果了吗?
是的
没有找到

多因子类身份认证

密码作为我们平时最常使用的用户身份验证方式有其便捷性,但是仔细思考你也不难发现其中存在着较多的安全问题。首先我们的密码是由用户自我定义设置的,期间不排除用户设置弱口令密码或者使用键盘布局的脆弱密码(当然部分考虑安全的系统会制定对应的密码策略对其进行限制),其次即便我们使用了极为复杂的密码,也不能完全规避"社工钓鱼"和"中间人"攻击等威胁,攻击者可以通过脱浏览器端的凭据信息等方式获取用户的密码,再者就是用户都有一个特征就是"惰性",很多用户在多个网站可能会使用同一个登录密码,故此攻击者可以通过找寻被泄露的账户密码获取到真实的账户密码信息并实现登录操作,基于以上多个风险层面,我们接下来对用户的身份认证进行简易的探讨并结合业务、测评等维度给出关联的安全设计

01

使用Java制作验证码

验证码(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自动区分计算机和人类的图灵测试)的缩写,是一种区分用户是计算机还是人的公共全自动程序。可以防止:恶意破解密码、刷票、论坛灌水,有效防止某个***对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试,实际上用验证码是现在很多网站通行的方式,我们利用比较简易的方式实现了这个功能。这个问题可以由计算机生成并评判,但是必须只有人类才能解答。由于计算机无法解答CAPTCHA的问题,所以回答出问题的用户就可以被认为是人类。验证码这个词最早是在2002年由卡内基梅隆大学的路易斯·冯·安、Manuel Blum、Nicholas J.Hopper以及IBM的John Langford所提出。卡内基梅隆大学曾试图申请此词使其成为注册商标, 但该申请于2008年4月21日被拒绝。一种常用的CAPTCHA测试是让用户输入一个扭曲变形的图片上所显示的文字或数字,也就是图文验证码,扭曲变形是为了避免被光学字符识别(OCR, Optical Character Recognition)之类的电脑程序自动辨识出图片上的文数字而失去效果。由于这个测试是由计算机来考人类,而不是标准图灵测试中那样由人类来考计算机,人们有时称CAPTCHA是一种反向图灵测试。为了无法看到图像的身心障碍者,替代的方法是改用语音读出文数字,为了防止语音辨识分析声音,声音的内容会有杂音,这种就是手机语音验证码,通过拨打手机的方式告诉用户验证码是什么。

03

再见了,打码平台:对抗打码平台的验证码思路

某日,一朋友深夜微信上问我,如果打码平台盯上了你,你该咋整? 政治正确的回答方式是:加强风控策略,多维度判断使用者意图,减低对验证码的依赖。 显然这不是我或者朋友真正想要的,现在不少企业面对打码平台有时候束手无策,只能放弃对验证码的依赖,我觉着有点可惜。 我们先来回顾一下,验证码的学名是啥? 图灵测试。 图灵测试的目的是为了区分人与机器,而打码平台的加入使得这个过程立即无效——打码平台上活跃的对象还真是人。 但这样就没辙了么? No。这“人”与“人”之间是有差别的。我们仔细想想,我们加入验证码的目的其实除

06

第十一期 | 你抢不到的优惠券

第十一期 | 你抢不到的优惠券,背后“元凶”竟是垃圾注册?顶象防御云业务安全情报中心发现,某电商平台注册场景出现大批量异常注册。黑产通过批量注册获得大量平台账号,为其后续在电商平台大促期间开展批量抢券、秒杀、刷单等行为进行账号储备。顶象防御云业务安全情报中心BSL-2022-a3c22号显示,黑产通过非法手段窃取、购买公民个人信息及手机黑卡等,并采用作弊设备模拟设备指纹高频切换IP等方式,对电商平台发起大批量的注册攻击,从而获得大量平台账号,以用于后续在平台大促期间进行一系列的薅羊毛行为,不仅使普通顾客因此失去了获得优惠的机会,而且给平台带来了大额的资产损失和大量的无价值的虚假用户。电商平台为何会被黑灰产盯上?电商平台的每一次大促都是黑灰产“捞金”的最佳时机。近几年,各大电商平台为了拉拢客户尤其是新客户,开展了一系列营销活动:新人折扣券,满减优惠券,拉新返现、砍价助力等等,花费的营销成本高达数亿元。以双十一为例。不久前,顶象在业务安全大讲堂系列直播课《双十一电商行业业务安全解析》中就具体提到双十一电商平台的业务安全风险。就双十一促销活动,电商平台们营销周期从10月中下旬就会开始相应的营销投入。整个双11电商大促活动会持续将近一个月,这也给了互联网黑灰产充分的时间去针对各个电商平台的活动规则和活动流程做深入研究,为后续的营销欺诈活动做好充分准备。此外,在营销玩法方面,都呈现出了优惠力度加码,玩法多元化的趋势。比如天猫聚焦高质量发展,构建“低碳双11”,首次设立绿色会场,发放1亿元绿色购物券;关注银发群体,上线淘宝长辈版,设置首个长辈会场;京东则设立了首个“不熬夜”的双11,提升消费者体验;升级多种价格保护政策及放心换服务,保障消费者权益;出台绿色低碳、扶贫助农计划等。营销投入的加大意味着黑灰产有更大的动力去进行攻击,因为一旦成功,收益更大。而丰富的营销手段则意味着黑灰产有更多的途径、更多的场景实现攻击,因为一条攻击路径走不通,便可以选择另一条攻击路径。且新的营销手段往往会因为防控经验不成熟,更容易出现业务规则的漏洞,成为黑灰产攻击的突破口。也正是各平台之间的相互竞争,导致这种营销活动愈演愈烈,继而催生了垃圾注册这个行业,并与黄牛、羊毛党、打码平台等团伙形成了完整的产业链。上游:卡商与接码平台所谓垃圾注册就是通过购买大量手机号和用户个人信息,在了解平台的规则后,借助作弊设备(如:代理IP、群控软件等)自动化的进行批量注册。在整个互联网黑色产业链中,批量注册处在产业的中上游位置。其主要目的是为下游进行一些列黑产活动提供账号。因此,批量注册的账号被视为滋生助长网络犯罪的核心利益链条之一。同时,批量注册的账号多数利用不记名的网络黑卡进行注册,为相关的账号使用者提供了便捷的真实身份隐蔽及账号控制主体溯源规避的功能,亦成为了网络诈骗、赌博等相关犯罪所必须的工具。上游为信息和技术的支持方,即为批量注册提供大量身份信息或资料及其所需的技术支持,卡商和接码平台便处于上游位置。中游为账号获取方即号商,即行为人通过从卡商和接码平台处获取的手机号与验证码,使用自动访问平台注册程序的软件或程序,获得大量注册平台账号。下游为账号使用方,行为人通常向号商购买账号,以供网络刷单炒信、发布违禁信息、进行网络攻击等多种用途。顶象防御云业务安全情报中心监测到,其上游端的卡商手握数以万计的电话卡,其黑卡的主要来源有:实名卡、物联网卡、海外卡以及虚拟卡。实名卡:实名卡主要是通过拖库撞库、木马、钓鱼等方式从网上收集大量身份信息,并通过黑卡运营商批量验证得到的。境外手机卡:黑卡运营商直接从海外购得的手机卡,这些卡无需实名认证,花费低,切合黑产利益。物联网卡:运营商基于物联网公共服务网络,面向物联网用户提供的移动通信接入业务。三大运营商采用各自物联网专用号段,通过专用网元设备支持包括短信、无线数据及语音等基础通信服务,提供用户自主的通信连接管理和终端管理等智能连接服务。虚拟卡:由虚拟运营商提供的电话卡。虚拟运营商与传统三大运营商在某项或业务上达成合作关系。他们就像是代理商,从移动、联通、电信三大基础运营商那里承包一部分通讯网络的使用权,然后通过自己的计费系统、客服号、营销和管理体系把通信服务卖给消费者。像我们常能看到的170开头的号码,多为虚拟号码。卡商获取黑卡的主要渠道大致分为两个来源:一是从运营商“内鬼”处拿卡。运营商的工作人员每个月都有开卡任务,通过平分利益,运营商“内鬼”月均给卡商供卡上千张,二者达成默契合作,形成“双赢”。二是通过找中介进村“拉人头”。当卡商有需求时,一些所谓的地推团队就会集体“下乡进村”,打着三大运营商的名号,搞免费办手机卡送礼的活动,以50到60元的成本获得一张可以正常使用的实名手机卡。中游:利用多种作弊手段养号卡商在获取到黑卡后,下一步就是要利用作弊手段进行养号。其作弊工具主要有三种:猫池猫池是一种可同时支持多张手机卡的设备,根据机

03

微信提现免费!申请微信免费提现的教程

今天,微信突然宣布:微信提现免费,不过,要享受微信提现免费的功能,需要满足一些条件,比如:需要申请具有微信免费提现的收款二维码,通过普通的微信收款码收款之后,提现依然要收费,那么,微信提现免费到底怎么玩?一起来看看! 📷 最近,微信正式推出“可免费提现的收款码”。从现在开始,只要你经常使用微信二维码进行收款,就可以申请得到! 申请之后,由微信官方完成制作,再送货上门,收款码分为立牌版和吊牌版。 📷 但刚才的都不是重点,真正的中点在这里:通过收款码收到的钱,就能免费提现。 不过,想要申请这个“收款码”,需要支

06

我是人吗?关于人机验证绕过技术的一些总结

人机验证服务是突破传统验证码的人机识别产品,通过对用户的行为数据、设备特征与网络数据构建多维度数据分析,可以对风险设备使用、模拟行为、暴力重放等攻击进行综合判决,解决企业账号、活动、交易等关键业务环节存在的欺诈威胁问题。早期的验证码通常是一串非常简单的形状标准的数字,经过长期发展,形式越来越多样化,现在简单的数字英文验证码已经很容易被机器读取破解,复杂的验证码设计得愈发反人类。不过得益于机器学习,尤其是深度学习的进步,很多学者和技术大牛都这方面有了一些研究成果,本文将对已有的一些人机验证绕过技术进行总结。

02

扫码

添加站长 进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

热门标签

更多标签

活动推荐

    运营活动

    活动名称
    广告关闭

    腾讯云开发者

    扫码关注腾讯云开发者

    扫码关注腾讯云开发者

    领取腾讯云代金券

    热门产品

    热门推荐

    更多推荐

    Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

    深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

    腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287

    领券