產(chǎn)品層面的安全校驗(yàn)的本質(zhì)是：身份驗(yàn)證——即，用一切簡(jiǎn)單可行的手段證明你極大概率是賬戶(hù)擁有人。

（注意，證明你是賬戶(hù)擁有者，不僅是在支付的時(shí)候，在任何操作的時(shí)候都需要，包括像找回密碼等）

圍繞著這個(gè)本質(zhì)，具體的方法就有很多，比方說(shuō)，要求你展示有且只有A擁有的信息，來(lái)證明你是A，既可操作成本低，又能有效證明。又或者，檢測(cè)你的設(shè)備信息，只要是同一設(shè)備，那么你的操作亦是部分可信。又或者，任何一次資金操作都會(huì)信息提醒賬戶(hù)所有者等等……

系統(tǒng)地組織一些這些方法，就可以組成四大部分：

多個(gè)不相關(guān)維度校驗(yàn) + 單個(gè)維度的復(fù)雜規(guī)則 + 威脅檢測(cè) + 特殊規(guī)則

① 多個(gè)不相關(guān)維度校驗(yàn)

在密碼已死的時(shí)代（大量密碼相同、撞庫(kù)等等），密碼再要求“含有大小寫(xiě)字母和數(shù)字，且12位以上”，又長(zhǎng)又復(fù)雜，意義也不大。也就是說(shuō)，單個(gè)維度的復(fù)雜度已經(jīng)不足以支持現(xiàn)在的安全需求。這還沒(méi)提及，長(zhǎng)密碼下?tīng)奚硕嗌儆脩?hù)體驗(yàn)方面的考慮。

所以更優(yōu)的解法應(yīng)該是多個(gè)維度進(jìn)行校驗(yàn)。每一個(gè)單獨(dú)的維度對(duì)“你是賬戶(hù)擁有人”進(jìn)行一次校驗(yàn)。就像一個(gè)簡(jiǎn)單的數(shù)學(xué)題，如果一個(gè)維度的風(fēng)險(xiǎn)是30%，新增兩個(gè)維度的風(fēng)險(xiǎn)分別也都是30%。那最終的風(fēng)險(xiǎn)是多少呢？ 2.7%——比起在單個(gè)維度不斷強(qiáng)化要更優(yōu)吧。

這也是為什么，谷歌二步驗(yàn)證能興起的原因。在此前，我們嘗試增加的維度是，郵箱驗(yàn)證 + 短信驗(yàn)證，但都分別暴露出來(lái)一定的風(fēng)險(xiǎn)。相對(duì)之下，谷歌驗(yàn)證是最安全的。（谷歌驗(yàn)證是由時(shí)間算法生成，不需要聯(lián)網(wǎng)，這就是最安全的原因。）

不管怎么樣的，結(jié)論就是，在簡(jiǎn)單的一個(gè)賬戶(hù)密碼的維度上，還必須有其他維度，最后，風(fēng)險(xiǎn)才能降得最低。

這也是我們必須設(shè)計(jì)的，多個(gè)維度進(jìn)行校驗(yàn)。

當(dāng)然，需要注意的是：維度之間是不能相關(guān)，否則就沒(méi)有意義了。就好比，校驗(yàn)完身份證號(hào)又校驗(yàn)手機(jī)號(hào)，兩個(gè)維度其實(shí)是部分相關(guān)的。

② 單個(gè)維度校驗(yàn)的復(fù)雜規(guī)則

除了多個(gè)維度去設(shè)計(jì)校驗(yàn)，還可以極致增大安全性的做法是，在單個(gè)維度上，不斷設(shè)計(jì)復(fù)雜規(guī)則。

比方說(shuō)，在六位密碼校驗(yàn)的這個(gè)維度中，在密碼輸入上，只能連續(xù)錯(cuò)3次，否則就會(huì)封鎖賬戶(hù)?！恍拍阍囋囄⑿胖Ц跺e(cuò)三次會(huì)發(fā)生什么事？

又比方說(shuō)，在短信驗(yàn)證這個(gè)維度中，可以設(shè)計(jì)短信驗(yàn)證的有效時(shí)間，可以設(shè)計(jì)輸入錯(cuò)誤三次顯示圖片驗(yàn)證碼之類(lèi)的。

單個(gè)維度校驗(yàn)下的規(guī)則也是必須的。越了解暴力破解的方式，能設(shè)計(jì)得越好。

③ 威脅檢測(cè)

威脅檢測(cè)，事實(shí)上屬于比較特別的多維度校驗(yàn)。常常是用戶(hù)無(wú)法感知（這也是問(wèn)題之一，常常用戶(hù)無(wú)法感知自己被保護(hù)而擔(dān)心，但其實(shí)有非常嚴(yán)密的威脅檢測(cè)）。

舉一個(gè)經(jīng)典的例子，為什么微信簡(jiǎn)單的六位支付密碼能保證安全？六位密碼的組合可能性并不多，加之多半用戶(hù)選擇的都是相同的密碼。但是事實(shí)上，微信在這方面用的很好。怎么做的呢？

簡(jiǎn)單來(lái)說(shuō)，我們看到的是一層校驗(yàn)，但是事實(shí)上，微信背后這個(gè)風(fēng)險(xiǎn)校驗(yàn)邏輯是非常完善，他會(huì)對(duì)我們的平時(shí)的消費(fèi)習(xí)慣進(jìn)行分析、消費(fèi)地點(diǎn)進(jìn)行分析，又，對(duì)同一設(shè)備進(jìn)行分析，以及微信登錄（得先登錄再支付）上又有嚴(yán)格，好友驗(yàn)證，異地驗(yàn)證等等。

這些多個(gè)隱形維度檢測(cè)，業(yè)內(nèi)統(tǒng)測(cè)為威脅檢測(cè)。

有許多地方其實(shí)已經(jīng)呼吁過(guò)停止使用，短信驗(yàn)證碼。但是考慮到易用性，絕大多數(shù)公司都不愿放棄，所以更多把目光轉(zhuǎn)向了威脅檢測(cè)。

④ 特殊規(guī)則

這實(shí)際上，屬于“其他”分類(lèi)，任何時(shí)候作歸類(lèi)總結(jié)的時(shí)候，都避免不了的一個(gè)“其他”分類(lèi)……

這里就是一些比較特殊，盡管特殊，但是卻不一樣低頻。比方說(shuō)，像消費(fèi)后的信息提醒。不過(guò)也有一些比較低頻使用——凍結(jié)賬戶(hù)之類(lèi)。

特殊規(guī)則，我們也可以嘗試去設(shè)計(jì)。