最近,苹果又来“整顿”手机厂商了。
有传言称,新版 iOS 16 将加入一个名为「自动验证」的新功能,可跳过网页和 App 中的人机验证流程,升级了 iOS 16 测试版的用户,可以进入「设置」—「Apple ID」—「密码与安全性」,在页面最下方找到这个功能。
什么意思呢?
以前,当你打开苹果的某个 App 时,系统首先要证明你是“人”而不是“机器”,需要识别验证码来证明你是你,通过了就证明你是可以被信任的。现在,苹果为用户直接略过了验证码这一环节,也就是说,苹果抢先一步通过算法证明了你是你。
对于这一更新,不少果粉直呼:“真的太人性了”。
无感验证将是未来新趋势
那么,苹果是如何实现绕过“验证码”的呢?
答案就是苹果运用了一种全新、开放的验证机制 —— 私密证明令牌 (Private Access Tokens,缩写为 PAT)。
PAT 并不指代某一种技术或某一种服务,而是一个验证用户的协议。它需要 Client、Mediator、Issuer 和 Origin 参与,才能完成整个验证,如下图:
这次自动验证是苹果与云服务商Cloudflare合作完成的,实现过程如下(以用户使用浏览器访问某个网站的场景为例):
整个流程包含四个部分,即浏览器(Client)、苹果手机系统(Mediator)、云服务商Cloudflare(Issuer),网站(Origin),其中网站后台需部署在Cloudflare上。
首先,用户使用浏览器访问网站,因网站后台部署在Cloudflare上,Cloudflare会要求浏览器必须携带token。
紧接着,浏览器会调用苹果系统服务进行检测,系统服务会检测当前设备的合法性,是否是可信设备,检查通过后会调用Cloudflare(作为Issuer角色)API,Cloudflare生成token给到浏览器。
最后,浏览器携带token访问网站(Origin),在这里,云服务商Cloudflare做网关代理,作为Origin角色来验证token的有效性,放行访问网站。
看起来好像很复杂,但整个流程的重点有两个:
一是整个验证流程没有任何需要人工介入的验证过程 (输入字符或点击图片等),整个校验过程基本无需客户端和服务端做改造,由苹果设备和云服务供应商完成,设备是否可信的判断由苹果系统完成,相比三方 SDK,苹果系统有能力获取到更多的信息,做更全面的判断。另外,该技术可以明显提升脱离浏览器使用脚本直接爬取数据的爬虫成本;
二是证明「我是人」的方式也从答题、隐私让渡,变成更合理的检查设备是否被破解等信息,使用支持 PAT 协议的设备和网站,会减少验证码的弹出,用户体验会更好。
而这种验证方式,也与顶象无感验证的初衷不谋而合。
顶象无感验证主打无感,结合了设备指纹、行为特征、访问频率、地理位置等多项技术,有效的拦截恶意登录、批量注册,阻断机器操作,拦截非正常用户,较传统验证码相比,用户无需再经过思考或输入操作,只需轻轻一滑即可进行验证。经过智能鉴别为正常的用户,在一定时间内无需再进行滑动操作,既为企业提供了安全保障也让用户无感知通过,极大提升了用户体验。
苹果作为手机厂商一哥率先提出了「自动验证」的功能,有理由相信,未来,无感验证将是大势所趋。
是不是可以和人机验证说再见了?
那么,人机验证是不是即将退出舞台了呢?
“还有很长的路要走”,顶象业务安全专家如是说。
首先,PAT 主要靠苹果系统来检测设备合法性,目前不清楚具体做了哪些检测,从公开的信息看会检测设备是否可信,是否改了设备参数等。这种完全静默的检测在一定程度上能阻断一些人机风险,比如脚本爬虫,因为无法获取 token 而会被 block 掉。但在互联网领域,机器人的风险表现是多样的,除了脚本还有其他方式,比如页面自动化驱动工具,通过群控控制等,该技术对这些风险的覆盖情况目前还不得而知。
此外,目前支持该方案的云服务厂商较少,网站 / App 自己支持的话有一定成本,在该方案大规模推广应用之前人机验证依然会是主流。
同时,站在手机厂商的角度,该方案的侧重点是如何提升用户体验,但考虑到安全性,覆盖度等问题,仍有较多的细节需要完善改进。
一方面,要实现这项功能需要企业网站改造来支持 PAT 协议,或者企业网站托管到云服务供应商上,目前已知支持 PAT 协议的云服务厂商仅有国外两家 Cloudflare 和 Fastly。
此外,该方案只能在使用国外网站和 App 时,体验会好一些。如果是国内,除了企业的网站、iOS 应用要去改造,还要考虑如何兼容 Android、鸿蒙、微信小程、支付宝小程序等。
另一方面,在安全性方面,国内很多黑产会使用设备牧场或者云手机,该项技术对于使用设备牧场或者云手机的攻击者来说可能无效,设备牧场和云手机的设备基本都是正常设备,如果开启 Automatic Verification 设置,该技术可能会让攻击者更加便利的获取利益。
并且,国内黑产的专业程度非常高,对抗也非常激烈,相信用不了多长时间,针对 PAT 的绕过或者破解方案就会出来。而对国内广大需要人机防护的厂商来说,在营销推广,线上活动等场景不仅需要足够安全的防护,还需要快速的应急和更新能力。如果 PAT 这个方案被破解,恐怕只能等 iOS 下个版本的更新了。
但不得不说,苹果为其他手机厂商也提供了“范本”。
从用户体验角度来看,PAT 是一个不错的创新点。但对于广大互联网企业来说,安全和体验是需要同时考虑的。提高用户体验的同时,需要准备充足的安全应急能力。比如后台要具备动态的风险决策判断能力,能够实时调整线上的安全策略; 要有多种验证码作为储备,并且能够实时切换。因此,企业在接入 PAT 的同时,不能完全依托 PAT,PAT 是一个优化用户体验的方案,但替换不了整个业务安全。
无感 + 风险对抗 + 策略的全链路防护方案将是重点
综上,不难看出,对于企业而言,他们的需求不仅仅是提升用户体验,更重要的是能够有风险对抗防护的能力以及出现风险问题之后如何解决的能力。
顶象防御云基于多年实战经验和技术产品,拥有丰富的技术工具、数万个安全策略及数百个业务场景解决方案,具有情报、感知、分析、策略、防护、处置的能力,提供模块化配置和弹性扩容,助企业快速、高效、低成本构建自主可控的业务安全体系。
其主要包含业务感知防御平台、验证码、设备指纹和端加固等产品。具备设备真伪识别、行为验证、风险感知、高性能实时计算、高效的策略执行和攻击还原等六大能力能力。能够融合全网风险态势,为行业企业提供全网的安全攻防对抗情报; 基于攻防实战中打磨的技术和实战经验,形成行业通用策略和针对需求定制的专属策略,并通过云端实时迭代和联动; 提供风险识别、防御处置、攻击还原、人工审查、关联分析、数据沉淀等一体化闭环风险处置; 此外,还具有实现黑样本数据、风险行为特征的沉淀,并通过云端下发各业务安全体系,进一步提升整体风险防控等。
基于顶象防御云,顶象也于近期推出了第五代验证码。结合安全可信链路、快速风险对抗、丰富的验证方式,可有效拦截撞库扫号、批量注册等机器风险行为。
该产品集成了云端感知能力,升级了无感策略,结合了更多风险识别维度,具备更强的攻防对抗和用户体验,可覆盖 iOS、安卓、PC 浏览器、小程序等。应用在对于账号体系或者希望在人机验证环节做重点机器流量防控的各类企业。该产品具备业内最丰富的验证方式,通过验证魔方可实现快速攻防对抗 (10s 内完成配,60s 即可生效),有效拦截机器操作等风险行为。
具体来看,有以下几方面优势:
一、智能无感,极致用户体验
顶象智能风控大脑根据用户可疑程度,多级区分用户等级,为安全用户提供极致体验,安全用户无感知通过,高风险用户需二次验证。较上一代无感模式,强化了设备风险识别能力,增强了人机识别模型、行为特征等模型,为可信任的安全用户提供更好的体验。
二、云端赋能,即时感知迭代
顶象防御云通过线上的全链路风险防控产品对互联网、金融等行业的作弊手段进行监控、黑产特征分析、业务风险识别形成风险情报,通过同行业、跨行业的风险情报信息共享,打通上下游防控链路,链接各行业的“信息孤岛 ",从而赋予了新一代验证码根据风险动态实现自我升级迭代的能力。更重要的是通过云端情报赋能企业业务人员,第一时间获取风险动态,提供防控思路,帮助企业提升风险防控能力,形成从风险感知到风控产品升级、风控能力提升的闭环流程。
三、多维判断,快速攻防对抗
随着黑产手段的多样化,多维度的信息更加有力于风险判断,实时流计算及场景策略结合机器学习训练的人机模型、历史数据的关联分析,面对风险变化时可实现全面、即时、快速的风险分析对抗。
在用户体验层面,智能风控识别与验证相结合,通过风控引擎多级区分用户请求,可实现安全用户无感知通过,提升用户使用体验,截止目前已经广泛应用于各个互联网和金融机构。
