财富半岛建设购物网站,wordpress和discuz整合,做网站怎样连数据库,新吴区推荐做网站电话2017年6月1日#xff0c;互联网服务开始响应《中华人民共和国网络安全法》的要求实施账号实名认证。由此#xff0c;手机号码成为网络世界最主要的“身份证”#xff0c;也让本机号码一键认证成为可能。其中#xff0c;极验是最早的直连三大运营商的五家供应商之一#xf…2017年6月1日互联网服务开始响应《中华人民共和国网络安全法》的要求实施账号实名认证。由此手机号码成为网络世界最主要的“身份证”也让本机号码一键认证成为可能。其中极验是最早的直连三大运营商的五家供应商之一早在2017年就正式对外提供一键认证接口。一键认证于2020年进入普及期截至2023年一键认证已广泛用于支付应用程序、电子商务网站、社交媒体及游戏应用程序等常见的互联网应用场景中。
在我们登录一些APP时只需要点击“一键登录”就可以直接以当前手机号作为身份进行登录无需收取短信验证码再填写短信验证码校验的繁琐过程大大提高了用户体验。一键认证能够解决记忆成本、输入成本、泄漏风险等问题是一个优秀且成熟的技术能够有效降低用户记忆成本、用户的操作成本与密码泄露的风险。
但随着一键认证的广泛普及极验发现大量客户对一键认证技术的理解存在偏差从而埋下一些运营上的风险盲区。从2022年开始这类风险盲区导致的业务损失案例开始越来越多但至今却并未被行业广泛提及或重视。这可能因为一键认证属于运营或通信板块而风险盲区属于业务安全范畴领域略有不同。恰好极验在提供一键认证产品之前更是从2012年开始专注并长期服务于业务安全领域。我们认为这次极验有责任去做一些普及因此认真撰写此文。本文共有6413字阅读大概需要12分钟建议推荐给正在使用一键认证的相关企业工作者阅读不论您是否为极验的客户都希望能给您带来一些帮助。 一、“错误理解”导致业务运营的案例
最开始我们也是从一个客户身上发现该风险盲区的。 2022年12月我们某个社交软件行业的客户L就遭遇了一起因一键认证引发的安全损失。在这之前他们对登录和注册场景采用一键认证短信验证的方式一直十分满意用户提交登录后由运营商网关直接获取该通信环境下的真实号码既方便快捷也能快捷确认登录者是本人。
然而在L公司上线某个营销活动当天突然出现了大量的虚假账号在短时间内频繁登录并薅取奖励客户的客服部门在两小时内收到了上百份的用户投诉赠送给真实用户的福利都被虚假账号薅走。L公司的财务报表显示不算上带宽和人工等成本光是本次发放奖励就造成了20多万元的损失导致L公司的营销活动直接陷入僵局。 L公司的业务负责人急忙找到了极验寻求帮助他们知道极验一直从事业务安全希望能从业务安全的角度帮他们解决当时棘手的问题。通过极验安全专家与客户进行回溯分析很快定位了问题的根源L公司将通过一键认证的用户都予以直接登录。殊不知一键认证仅验证了本人身份确认无法起到身份安全确认。将没有进行身份安全确认的账号予以直接放行必然为日后埋下业务安全风险。
当我们与客户进一步分析数据时可谓触目惊心在本次的营销活动中L公司领取奖励的异常风险账号占据了总量的65%共有29287名用户参与了活动但风险用户数竟高达19072名并且很多“风险账号”都不是第一次登录了通过此漏洞进来的最早一批风险账号可以追溯到2022年8月也就是说大量“风险账号”与“正常账号”在4个月的时间里长期混在一起哪怕公司有专门的风控团队清理起来也比较麻烦。 因此一键认证的作用只是本人身份确认确认该手机号是用户本人登录。如果我们错误理解成身份安全确认那么很容易给公司业务埋下巨大的安全隐患。 二、“错误理解”已成普遍存在的风险盲区
在帮助L公司解决了他们的业务风险问题后我们开始思考这样的安全隐患究竟是L公司的个案还是行业内普遍存在的风险盲区 于是极验开始联系一键认证客户进行业务安全调研仅针对一键认证场景进行最简单的风险库筛查。数据显示在调研的70家客户中风险流量平均占总请求流量的13.74%其中最高达到23.08%为社交行业。而进一步查看他们的业务逻辑发现这其中95%的公司都是下意识地把“一键认证”这样一个本人身份确认的技术“错误理解”成身份安全确认从而缺少有效的安全风控措施。
同时这种安全隐患还与企业所处的行业关系密切。在通讯社交行业中风险请求出现的概率最高几乎占总请求量的23%以上每年会给企业造成高达几十万元的经济损失。据极验分析这可能与社交行业容易滋生杀猪盘、诈骗等违法问题有关。这些违法行为需要大量看起来级别很高的“可信”账号进行诈骗而这些账号都是需要每天登录来慢慢“养”起来的。关于社交行业的黑产风险我们之后会专门写文章来进行详细探讨
在游戏、电商和企业服务行业中风险账号的占比也均在10%以上。据不完全统计每登录了10个用户就至少有1-2个羊毛党正在薅取你的资源。由此我们通过数据分析得出了“因对一键认证错误理解导致的风险隐患其实是普遍存在的”这一结论。同样的结论我们也能从黑产相关信息分析得出请看下面这张图。 这是洛阳警方破获一个特大系列网络赌博案件中查获的“特制手机”一部手机插40张电话卡进行网络赌博涉案资金流水高达上亿元。这种“特制手机”在黑产产业链中大量存在且可购买的。
我们试想一下
如果黑产使用该“特制手机”是否能以40个不同“身份”完成一键认证如果以现在您公司的业务逻辑完成一键认证是否就让这40个风险账号直接登录进您的APP了如果这40个风险账号登录进了您的APP他们以后每天都能顺利登录吗如果这40个风险账号长期潜伏在您的APP里会对您APP造成业务损失吗您认为您的APP中现在有这样的风险账号吗
我想您的心里应该有了答案。一键认证带来方便快捷的同时也让不法分子趁机钻了空子但真正的原因在于我们对一键认证的“错误理解”从而埋下了风险盲区而且这类风险盲区绝非个例而是普遍存在于大量企业的业务当中。各行各业都有必要对此提高警惕进行排查。
三、那么“正确理解”是什么
前面我们已经讲到了一键认证普遍存在的风险盲区源于客户对一键认证的“错误理解”所致。那么如果我们有意去规避这类风险盲区首先我们得弄清楚“正确理解”是什么
前面我们说到一键认证只用于本人身份确认不可直接理解为身份安全确认。当我们在日常的业务逻辑中只要我们给一个账号予以登录放行时其实就默认发放了身份安全的“好人牌”从而埋下了风险隐患。甚至在一些组织中“好人牌”是运营部门无意识发的然后其他部门都默认了该风险账号的好人身份导致错误在组织间被不断放大传递类似综艺节目里的击鼓传花游戏。
身份安全确认正确的理解必须经过两个步骤第一步本人身份确认第二步可疑风险筛查两个步骤缺一不可。因此我们明白了之前的理解错误直接导致了我们在业务逻辑中容易漏掉了第二步可疑风险筛查。 其实一键认证本身运用的网关取号技术并没有任何问题。作为一个接口一键认证能基于三大运营商网络对 SIM 卡电信级认证能力匹配用户身份确认身份是否是本人。但是在绝大多数业务负责人的习惯中只要能够一键认证成功的账号就直接视为正常账号并予以放行。而这中间就存在一个业务漏洞放行的账号是否安全尽管身份是本人没错但不等于身份就是安全的身份确认与风险筛查缺一不可。 本人身份确认与可疑风险筛查为什么缺一不可放到我们的日常生活中就非常好理解。以交警拦车检查为例交警在检查放行前有两个重要步骤第一步检查驾照确保驾照照片与司机样貌一致这一步相当于本人身份确认也就是我们网关取号的作用。第二步在交通系统中输入驾照信息确保无违法行为或者观察车内情况如查看酒驾、超载等进一步排除风险这一步相当于可疑风险筛查。依次完成了这两步后交警才会予以放行。
在我们的日常运营中如果对一键认证“错误理解”就会导致漏掉了第二步可疑风险筛查的步骤就予以通过那么就等同于交警只确认驾照不查酒驾、超载、后排乘客是否系安全带……交警不核查违法行为就予以放行很多违法问题就不能在第一时间第一现场予以及时制止。 所以回归到一键认证可疑风险筛查就起到了交警第二个动作的作用是不可以漏掉的一旦漏掉就会埋下风险隐患。
四、“错误理解”的根源与客户心声
如上文所述我们发现了“错误理解”导致的问题也找到了“正确理解”。起初我们认为只需要跟客户简单交流几句同步“理解”上的偏差就能有效解决一键认证隐藏在运营中的风险盲区。然而事实上没有我们想得这么简单。
1.“错误理解”源于思考角度
在我们与大量客户同步“理解”偏差的工作中发现客户对一键认证的“错误理解”源于当时思考的角度本身并不存在对错。以下是我们在与客户的交流中发现的三种客户典型的思考角度 第一种思考角度——“运营型思维”产生这类思考角度的客户大多偏运营专业对安全相关了解较少。这类客户占35%大部分这类客户从事运营岗更关注用户在登录时的交互体验而较少涉及安全相关知识。所以他们产生“错误理解”只是因为他们缺乏安全方面的信息。当我们对这类客户进行相关信息的补充之后他们能很快接受该信息在沟通同步中更容易接受“正确理解”。 第二种思考角度——“技术型思维”产生这类思考角度的客户大多偏工程或技术也思考过这类问题但由于一个细节思考盲区产生了“错误理解”这类客户占30%这类客户有一定的技术能力往往从工程或技术的角度来看待一键认证。他们认为一键认证与早期的短信身份验证的作用是相同的。既然一键认证技术是短信身份验证技术的替换技术那么工程上只需要将曾经的短信身份验证替换成一键认证即可。
本身这种工程思路没有任何问题但背后有一个隐藏的细节盲区曾经的短信身份验证技术的用户体验很差需要完成接收短信、识别数字验证码、填写数字等这些繁琐的操作。但殊不知这些繁琐的操作对于黑产而言也是一定阻碍虽然不算太高但短信身份验证技术还是能通过提高黑产通过的成本来起到一定的风险筛查作用。然而替换成一键认证后就连这不算太高的风险筛查作用也没有了。当我们对这类客户揭示此细节点后这类客户也能很快理解。 第三种思维角度——“组织型思维”产生这类思考角度的客户所在的企业是有专门的安全部门甚至还有专门的风控体系。这类客户占35%。一般运营部门负责一键认证安全部门负责风控各司其职。这种定义清晰的组织本身没有问题但需要注意运营部门在第一步本人身份确认后就给账号发了“好人卡”予以放行需要安全部门事后再次采取风控措施进行风险筛查补救白白耗费了精力。就像是一个交警在第一步查了驾照就放行等另一个交警在下一个路口再做第二步查违章查酒驾大大影响了组织协同的效率。
我们通过交流发现确实有部分企业能在后期通过安全部门排查到风险但“一边放一边查”的方式效率较低。如果能在最开始就能将“运营”与“安全”协同起来那效率一定会更高。在交流中我们也发现有少数几家企业一直是这样做的说明这几家企业在组织协同上做得非常优秀 2.客户的心声
通过与大量客户的坦诚交流让我们不仅更了解客户的思维角度更让我们有机会听到了他们的心声与现实的无奈。 在我们的普及推进中很多客户慢慢理解并认识到这个风险盲区但从客户的角度而言他们开始面临一个选择——解决这个风险还是忽视这个风险“当然是解决风险” 可能很多人直观的反应。但正处于业务线的客户很可能会被动地选择后者忽视风险。所有的风险的解决都是需要成本的——采购的成本、部署的成本、组织协同的成本等等这才是客户真正处于业务线做决策时最真实的无奈他们不是不想解决风险而是解决需要成本与代价。
五、团队半年的坚持与30家种子客户的支持
“我们不想看到客户在风险盲区中再受到业务损失我们不想看到客户因现实的成本而被迫去忽视风险”极验一键认证团队于2022年底开始计划「一键认证安全版」。团队从一开始就确定了「一键认证安全版」的初衷“站在客户的角度让客户用最低的成本去获得一键登录最大的业务价值”。团队在经过长达半年的尝试迭代后「一键认证安全版」终于达到了团队设计此产品的初衷。 “让客户用最低的成本去获得”我们办到了
只要是现有极验一键认证客户无需额外费用无需额外部署扫码申请即可开通。
在这背后我们团队投入了无数的测算讨论、新功能开发与数据库调整。我们多做一些只为我们的客户能够少做一些。
“让客户获得一键登录最大的业务价值”我们也办到了
在原有极验一键登录常规版功能的基础上我们新增了“风险筛查预警”功能让风险不再是盲区我们新增了“分析报告模块”让客户组织协同更方便我们还新增“失败归因分析”、“号机细化统计”等对客户而言工作能更顺手点的细节功能。
当我们与客户成为朋友时我们希望我们的朋友工作能更安全、更顺手。只要我们能够做的我们都尽量多做一些。
在「一键认证安全版」完成开发测试后有30家来自教育、游戏、房产、社交和娱乐等行业的极验一键认证常规版客户进行了内测使用。在内测过程中客户一直给我们反馈交流帮助我们迭代一键认证安全版。其中22家客户表示可疑风险筛查功能在检测异常账号方面对他们提供了更多的判断依据为企业准确统计出一号多机、一机多号和频繁校验的数据对企业的运营决策提供了有效且易于理解的支撑17家客户表示新功能的免费性十分友好帮助企业节省了安全的沉没成本11家客户经常下载每日生成的安全隐患数据报告能够帮助企业更快速、更准确地应对安全威胁。
我们一键登录团队跟小编说当时他们也曾犹豫过跟业内一样提供一个常规接口不就可以了吗干嘛折腾但当看到内测客户反馈“安全版”与“常规版”确实大大不同时他们觉得之前所有的坚持都是值得的
六、「一键认证安全版」五大好评新增功能
在第一批内测中我们特别荣幸能让30家不同领域的客户使用了「一键认证安全版」。结合客户的反馈信息与对实际情况的观察我们凝练出了「一键认证安全版」在内测客户中最推崇的的五大核心好评功能下面我们来一一具体介绍1排查风险身份账号免费升级风险筛查预警功能在无需额外成本的前提下最大限度更早发现风险。
某中小型企业业务负责人曾向我们反馈进行号码校验时只能验证号码的真实性却无法得知潜在的身份风险。经过评估后我们设计出支持进阶风险排查这项功能帮助企业更加全面地评估风险让运营人员能在校验号码的基础上进行身份风险的排查确保用户的真实身份。
2提供专业分析报告自动生成数据报告功能便于运营部门与安全等协同部门快速传递信息。
一家金融科技公司的安全团队负责人向我们反馈系统自动生成的专业数据报告为企业提供了有力的安全情报能够更快速、更准确地应对安全威胁同时也加强了安全部门与运营部门之间的协作。过去信息传递通常会滞后当企业检测到风险情况时为时已晚。而现在通过一键生成的数据报告企业能够随时从运营部门处掌握有关身份风险的信息。
3验证失败归因分析定位客户无法通过一键登录的具体原因。
之前一些运营人员在处理验证失败的情况时很难准确判断失败的原因。有时候用户反馈问题也不够明确。但是有了风险排查技术他们就可以精准地识别出因用户手机环境异常而导致的验证失败比如SIM卡缺失或者数据网络未启用等问题。这对优化用户转化率帮助很大通过分析失败的原因分布和数量客户可以更有针对性地改进用户验证的流程和提示提高用户的成功率。以前我们只能猜测失败的原因现在有了数据支持我们能够更加科学地进行决策。”另外一家游戏的运营负责人这样评价「一键认证安全版」。 在我们回访过程中一家游戏公司业务负责人反馈在统计账号的时候经常会遇到遗漏的情况因为有些账号可能会使用不同的设备。为了解决账号统计重复的情况部分企业会采购设备指纹来解决此统计问题但无疑又是一笔预算开支单为精细化统计来购买设备指纹又好像必要性不高。考虑到多数中小企业都可能存在以上痛点极验从客户的角度出发决定在不增加任何成本的情况下应用极验设备指纹标识能力在「一键认证安全版」中提供精细化统计功能。 5消费与统计数据界面升级统一整合客户所需功能数据查看更清晰。消费统计是客户使用一键登录后台查看最多的页面基于之前大量客户的反馈「一键认证安全版」将过去分散的功能进行了统一整合让客户一打开数据统计后台就能迅速地了解前一日用户的使用情况轻松地监控用户的余额和消费让客户统计数据更清晰、更便捷。 七、申请第二批客户开通
截至8月25日第一批已开通的30家企业通过「一键认证安全版」共排查出了275791个风险账号。我们收到了24家企业主动的正向反馈且版本功能稳定在无需任何客户侧改变的情况下就有效地规避了风险盲区。 如今为帮助更多极验一键认证常规版的客户能享受到更安全的产品体验我们正式开放了第二批升级通道。仍然无需费用无需部署只需扫描以下二维码填写表单进行申请极验服务团队帮您开启升级版本后即可免费从一键登录常规版升级为一键认证安全版届时您登录后台即可体验到升级版的新功能。
如果您是极验一键认证常规版客户欢迎扫码申请极验团队会尽快帮您免费升级至「一键认证安全版」。如果您目前不是极验客户同样有「一键认证安全版」排查风险账号的需求也欢迎填写上方表单我们的商务专家会尽快与您联系。我们期待收到更多您的宝贵意见~
