前言

不管是面向什么端的產(chǎn)品，都會面臨用戶賬戶保護(hù)的問題。有的大廠有專門做這方面工作的產(chǎn)品經(jīng)理，他們叫“策略產(chǎn)品經(jīng)理”。但是我們小廠沒有不等于就不做呀，那我們應(yīng)該怎么做呢，本篇記錄了從基礎(chǔ)、升級、高級三個等級來做賬戶安全策略。

1. 什么是用戶賬戶安全

用戶賬戶安全涉及到木馬植入、暴力破解密碼、拖庫撞庫、虛假注冊、短信轟炸、手機丟失等行為。

2. 為什么需要保護(hù)用戶賬戶安全

（1）防止盜號
黑客或者其他盜號者通過一系列手段盜取用戶賬號密碼，用戶賬號被盜后，可能會有資產(chǎn)被侵害的風(fēng)險，或者用戶信息被賣，不斷收到騷擾短信/電話。

（2）防止刷號
常見于薅羊毛的羊毛黨，注冊大量賬號獲取平臺福利后，留給平臺一堆無用的垃圾賬號。

（3）防惡意攻擊
高頻次的請求 / 注入，會導(dǎo)致服務(wù)器的癱瘓，宕機，影響平臺的運行。

3. 怎樣保護(hù)用戶賬戶安全

3.1 基礎(chǔ)防護(hù)

3.1.1 注冊驗證

注冊登錄是賬戶安全的第一道防線，近些年進(jìn)化出了許多防護(hù)的方法。
（1）圖形驗證碼 / 拼圖
防止當(dāng)前使用者，非真實用戶。

• 圖形驗證碼

  
  
  初代圖形驗證碼
  
  

  當(dāng)使用這類驗證碼時，機器已經(jīng)可以識別圖中的文字了，并且還能按照要求識別出字母，數(shù)字。甚至還有了一些打碼平臺，專門人工進(jìn)行識別一些復(fù)雜的驗證碼。

• 滑塊圖形驗證

  
  
  滑塊驗證
  
  

  后來升級了驗證方式，采用拖動圖形完成拼圖的方式，但是隨著神經(jīng)網(wǎng)絡(luò)的發(fā)展，模擬真人的操作算法越來越先進(jìn)，通過率已經(jīng)很高了。但是還是可以配合更多的機制防止機器人，比如次數(shù)、時間。

• 選出型圖形驗證
  在幾張圖里，選出包含紅綠燈 / 橋梁 / 船只的圖。一般幾張圖都是復(fù)雜背景，有時候人眼都會誤判。

（2）手機號校驗
為保證手機號為本人使用。

手機驗證碼

但是通過手機號校驗需要保證短信驗證碼通道的通暢，所以還會限制驗證碼請求次數(shù)，每次請求的間隔時間。

（3）郵箱校驗
也是為了保證郵箱是本人在使用。
通常采用郵箱驗證碼或者激活鏈接的方式。

郵箱驗證

（4）密碼復(fù)雜度
為了防止密碼被破解。
平臺一般會增強密碼的復(fù)雜度，并提示密碼不要和別的平臺一樣。更加復(fù)雜的密碼要求數(shù)字，字母，字符組合，要求位數(shù)，還會給出安全等級評級，周期提醒修改密碼等。

密碼復(fù)雜度

（5）IP地址與手機號地址映射
為防止非本人使用特殊手段注冊賬號。
獲取用戶IP地址，與注冊使用的手機號是否屬于同一地區(qū)。不過這不一定準(zhǔn)確，萬一在外地注冊也不是不可能。

（6）注冊請求頻次校驗
為防止服務(wù)器被攻擊，限制注冊請求的次數(shù)，達(dá)到次數(shù)限制，拒絕注冊。

3.1.2 登錄驗證

（1）找回密碼驗證
為防止用戶忘記密碼后無法登錄。
找回密碼時需要使用驗證，一般驗證方式有手機驗證碼，郵箱驗證，密保問題，身份驗證等。

（2）手勢登錄
為了方便登錄。
一般在用戶登錄后，token都有一定時效，在時效有效期內(nèi)不會再讓用戶無限次輸入登錄密碼來驗證，所以佐以手勢密碼可以驗證用戶身份。

手勢密碼

（3）登錄失敗次數(shù)
為防止盜號試密碼。
登錄失敗（密碼輸入錯誤），將賬號凍結(jié)一段時間才解開，同時向注冊賬號發(fā)送風(fēng)險提示消息。

登錄失敗

（4）密保問題
一般用于修改密碼后的登錄驗證，是否為以前賬號主人登錄。
可以使用以前的記錄，比如電商平臺會列一些物品出來，讓用戶選哪些是曾經(jīng)購買過的。社交平臺會采用輔助校驗，讓你的幾個好友給你發(fā)送固定的消息內(nèi)容來激活賬號。

（5）瀏覽器指紋
防止用戶賬號被盜，防止批量注冊。
每個瀏覽器和人一樣有一個獨一無二的ID，如果是網(wǎng)站產(chǎn)品，用戶在使用某一瀏覽器訪問后就可以記錄用戶的瀏覽器指紋。
這樣瀏覽器更換時就可以通知用戶，同時，如果發(fā)現(xiàn)多個賬戶在一個瀏覽器登錄，那么可以采取措施，是否允許一個用戶擁有多個賬戶 。

3.2 升級防護(hù)

（1）異地登錄
為防止盜號。
如果常用登錄地址和登錄IP變化，需要做一定的校驗，并通知賬號所有人有異常登錄。

（2）換設(shè)備登錄
為防止盜號。
記錄賬號的常用設(shè)備mac地址，當(dāng)?shù)刂吠蝗桓鼡Q，需要驗證用戶是否本人，并通知賬號所有人有異常登錄。

換設(shè)備登錄

（3）實名認(rèn)證
上傳身份證信息與注冊手機號的實名信息相匹配。

（4）指紋識別 / 聲紋識別 / 面部識別
為防止盜號。
這些都是難以復(fù)制難以模仿的，相對于可以攔截的短信，可以盜取的密碼來說，難度較大，安全性更高。

3.3 高級防護(hù)

以下信息只做了解，并無法完全確認(rèn)其準(zhǔn)確性。
（1）用戶畫像
通過文本語義分析、用戶行為分析、終端分析等等方法，刻畫客戶個人的特征，并劃分風(fēng)險等級，當(dāng)某次用戶行為出現(xiàn)異常判斷所屬哪個等級的風(fēng)險來采用對應(yīng)的方案。

（2）用戶行為
使用【生物探針技術(shù)】，可以在用戶操作時采集到包括手指觸面、線性加速度、觸點間隔等數(shù)百個行為指標(biāo)，根據(jù)歷史行為數(shù)據(jù)，通過【機器學(xué)習(xí)】計算專屬行為模型，在用戶操作手機時，可以將其當(dāng)前操作習(xí)慣同歷史模型比對，判斷這個人是否為風(fēng)險用戶，實現(xiàn)用戶的身份判定。

（3）建立黑名單
還是要收集到羊毛黨的行為數(shù)據(jù)，如完成整個操作的時間，在一臺設(shè)備上操作數(shù)個賬號等異常行為，建立黑名單庫。當(dāng)用戶操作時，通過篩選判斷是否屬于黑名單賬號。

相關(guān)資料

https://blog.csdn.net/weixin_46186962/article/details/103998189
https://www.sohu.com/a/233151664_466220
https://zhuanlan.zhihu.com/p/48904562
http://www.woshipm.com/pd/808521.html
https://baijiahao.baidu.com/s?id=1613748926565055951&wfr=spider&for=pc