1月12 日下午,就验证码的攻防对抗问题,顶象反欺诈专家大卫从验证码的破解手段讲起,从防御角度深度剖析如何应对黑灰产的攻击以及验证码在产品能力设计层面应该考虑哪些问题。
直播也吸引了众多关注验证码的观众前来围观,针对验证码的攻防提出了许多问题。我们特地将这些问题整理出来,供大家参考。
Q1:对于接码平台有什么防护办法?
大卫:接码平台一方面要从验证码的防控策略上对抗,通过底层的风险识别能力,识别接码平台的异常,验证码本身需要有较快的迭代更新。第二个是打码平台的工作流程,会有验证码和业务请求不是来自一个环境和设备的情况,可以从这种异常情况去识别。
Q2:js文件加解密更新会不会影响到正常用户?
大卫:js有定期更新的机制,会设置cdn的最大缓存时间,保证不会因为缓存影响用户使用。极端情况是如果一个用户打开一个页面并停留超过一天,有可能会导致js过期,这时候只要刷新页面就可以恢复。
Q3:App端加密算法也会更新吗?
大卫:App端使用webview实现,加密更新机制和js一致。
Q4:验证码插件从哪里获取?
大卫:插件主要面向私有化用户,使用支持插件版本的用户可以向顶象售后支持人员咨询。
Q5:对使用自动化脚本的应该如何防护?
大卫:脚本一方面靠终端风险识别能力来进行识别,另外是脚本可能可以通过几次验证,但一旦批量化运行提交以后,可以通过后台的风控大数据计算进行识别。
Q6:顶象云服务的验证码图片多久更新一次?
大卫:云服务图片是自动更新,两个小时就会更新一次。
Q7:海外用户可以用吗?
大卫:有海外的saas服务。
Q8:能否配置规则让正常用户不弹出验证码,有风险再弹?
大卫:验证码有内置的无感模式,会尽量减少对用户的打扰。如果是想定制业务规则,比如白名单用户不弹验证码,建议是通过风控策略进行控制。
Q9:很多厂商如 b站、微信使用的都是比较简单滑块验证。大卫老师知道这些厂商为什么没有提升验证码难度嘛?
大卫:大厂的风控层面一般是较全面的,验证码可以在底层可以结合账户体系来控制,用风控来补充验证码的能力。