CSDN原创首发
概述
探讨目标:如何高效低成本将生物验证应用到小微企业及微产品
现在主流验证方式如下
- 图片滑动验证
- 验证码输入验证
- 邮件发送验证
- 文字点击验证
- 图片点击验证
若细致地进行划分,验证码适用于极大部分场景,且方便快捷。
但问题来了,随着AI的不断训练,这些传统的验证方式很明显不堪一击。
抽象对待的话,这些都只是在数据上做文章。那么衍生出了以下投影现实生活的验证方法
- 网络环境验证
- 服务基站验证
- 信用行为验证
- 机器设备验证(如蓝牙连接验证,U盘插入验证,常用机器码验证)
对于此,安全系数虽然提升了不少。
但是对于对于很多网站来说,并不是那么适用
那么有没有一种方式可以避开个体验证所需的必要存储,又可以快速响应的方式,这也就是本次的探究内容
对象思考
首要思考使用者是个人还是企业。抽象一下,二者均属验证对象范畴,定义为用户。
结合独立验证要求的对象特点
用户 》
- 使用情况(紧急/正常)
- 行为情况(敏感/普通权限操作)
- 信誉情况(非本次探讨内容,不过是作为参考阀值存在)
- 物理情况(即验证网络和机器,为上面判断提供参考)
应用环境假设
- 社交类(博客,论坛,新闻)
- 资料类(Wiki,百科)
- 金融类(网上银行,购物平台)
- 教育类(在线教育)
- 混合类(上述类混合,例如直播等)
独立验证应用任务
由于我国国情的特殊性,大多数网络应用都与经济深度结合,也不乏各位站长想提升网站安全属性,因而只探究混合类
即此验证体系要做到存在即为合理的支持程度,验证可严可弱,范围仅限中国国内
体系针对理论
由上述,面向对象的话。需要判读解决用户是在使用还是在触发某些行为。
用户需要什么,是此验证体系最关心的一个问题。我认为是用户的名誉和利益
而攻击者无疑是奔着这两者来的,无疑是作为网站方还是用户方受到的攻击均如此
而为了避嫌,攻击者常采用机器信息攻击,针对于网站方的攻击非本文谈论内容
针对于用户方的验证保护才是本体系内容
理论实现方式(仅参考)
用户账户私密内容验证(使用情况的一种方式)
具体思路:在某些操作上包含关于此账户的真假问题要求使用者回答,如没有收到或没有点击否,确认内容点击是,跳过选择下一步。文本内容具体输入
举个例子(前提是要宣传清楚):
- 我们发送了一份电子邮件至你的注册邮件箱(社交邮件箱) XXX 请输入验证码,界面上显示输入框,是,否,下一步按钮
- 你的账户存在风险,请在手机上确认PIN码。显示是,否,输入框和下一步按钮
- 你上次收据出现了问题,请键入救援密钥。显示是,否,输入框和下一步按钮
关于此验证方式的漏洞与注意:
- 如果用户没有接受到相关宣传,则存在被攻击者提前布局的问题
- 一些用户提供的资料可能存在被劫持与作假
- 此验证方式本质上属于一种欺骗性验证(力求确保网站方和用户方在关键信息上对等,不至于被欺骗到),但在应用上用户类群实际上存在差异
- 十分考验网站运营建设群体能力,涉及到了一些心理学和群体社会关系
推荐的低成本解决方案:
- 选择大家都熟知的诈骗方案进行问题设置
- 模块化各步骤的响应,成为独立个体
- 构建行为情况验证用户账户数据和可能出现的行为(一般企业分析时都会存在此操作)
个人站长推荐方案:
- 同举例一,低调简单。根据网站特色进行调整
用户行为及群体嗅探验证(行为情况的一种方式)
依据现有行为,后有使用的方式开发
这属于用户的内容,各网站情况各有不同,只描述同上面框架一并运行的方式
账户资料收集 => 根据网站特色分析其行为 => 作出框架内的判定 => 嗅探功能
个人站长推荐方案:
- 默认全部用户均无使用权限,需要时自动开启并发送手册到用户邮箱通知
本文内容谨属个人观点,欢迎大家斧正!
后续将补上相关的PHP代码体系,敬请期待
扫一扫
727
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
