以凯格无感验证为例,浅谈滑动验证码背后的技术
验证码是一种区分用户是计算机还是人的全自动程序,可避免因恶意登录导致的密码泄露、刷票、信息被爬取、脚本作弊等风险事件的发生,是一种重要的防机器作弊的技术手段,目前已经是网站、App等交互式访问的必要防控措施。其运行机制就是通过对验证码的输入、点击、滑动、拖动等交互方式,快速识别注册、登录者是真人还是机器程序。开展数字业务的企业通过应用验证码可以防范防止批量注册、恶意登录、发垃圾广告、刷票、暴力破解密码等业务风险。
什么是滑动验证码?
验证码主要有字符数字输入、图片拼接滑动、目标点选等形式。滑块验证码是在常见的一种形式,操作便捷,只要轻轻一滑,即完成验证。滑块验证码有两种设计,一种是在滑动框内“一滑到底”即完成验证的,另外一种是滑动滑块拼合拼图完成验证。由于后者的趣味性和安全性更高,因此更受欢迎。
滑动验证就是将随机生成的滑块滑到图片对应的滑块位置坐标,获取操作者的相关行为值。并通过计算机不断地学习,依据滑动速度、轨迹等进行多维度分析,判断是否是异常行为、风险操作等。
滑动验证码背后的技术
验证码操作看起来简单,其实背后有很深厚的技术支撑。
以凯格无感验证为例,集设备指纹、行为校验、操作校验、地理位置校验等多项功能与一身,基于操作者行为及环境信息等数据信息,结合模型和风控分析。
在用户访问方面,通过鼠标在页面内的滑动轨迹、键盘的敲击速率、滑动验证码的滑动轨迹、速率、按钮点击等行为轨迹模型检测来进行识别。在异常检测方面,“使用的一种异常检测算法为孤立森林(Isolation Forest),Isolation Forest 中提出Isolation概念,即将异常数据从既有数据分布中孤立,用以实现异常检测的目的,这种算法较基于正常数据点创建Profile进行异常检测的算法,如Replicator Neural Network、one-class SVM有更高的异常识别能力和准确度。不仅可以有效地不仅提升验证码对机器行为、恶意行为的识别能力,更可以增强人操作的保护,提升用户的体验度。
在应对网络爬虫对验证码的暴力破解方面,通过图片乱序切条、图片更新定时加工、图片变异等技术,结合关联性检测进行防范,通过内置规则和策略,判断相关关联性,如同一设备关联性、同一IP关联性、滑动失败关联性、验证次数关联性等,有效识别短时间内异常关联性。此外,在数据传输环节已内置“乱序切图传输“功能,可将背景图片进行乱序切割后传播。
凯格无感验证采用多节点部署,上线简单快捷,提供数据存储以及中间件。能够应用在H5、Web以及APP亦或是微信公众号上,能够为注册、登录、营销、交易、贷款申请等各种业务场景提供集客户体验和风控安全的验证服务。
业务系统怎样和滑动验证码结合
以凯格无感验证为例。首先,针对需要保护的业务接口,在页面上嵌入“无感验证”。当滑动成功后会得到一个安全token,业务接口需要带着token到后台进行token安全验证,验证通过以后再继续业务流程。
以登录为例,用户在登录页面滑动以后,会得到一个安全token,接入后的业务接口变为: 接口:http://domain/login 参数:用户名,密码,安全token。
