验证码是阻挡机器人攻击的有效实践,但同时也波及正常的用户体验。如何通过用户的"行为特征",简化人的验证操作,是提升用户访问体验的关键所在。
传统验证码所激化的矛盾主要表现集中在:
01 安全性低
几乎任何的传统验证码都可以通过字符字库识别、深度学习识别技术轻松破解;
02 用户体验差
为了提高安全性,需要加大验证码图形的识别难度,必然会牺牲用户体验,这是传统验证码技术的概念造成的;
为适应当前“提倡交互”的互联网发展趋势,优化用户体验,行为式验证技术应运而生,有效改良传统验证码用户体验不佳、安全性低、迭代性差难以升级等矛盾点。
01 基于行为的用户体验
传统验证码依赖用户键入计算机展示的图形内容以实现人机验证,尤其影响移动端用户的访问体验。YUNDUN行为式验证码以用户产生的行为轨迹为依据,进行机器学习建模,结合访问频率、地理位置、历史记录等多个维度信息综合判断,快速、准确的返回人机判定结果,最大程度简化用户的操作。
-
通过点触校验,避免繁琐的“码字”过程;
-
图片由后端服务器预生成,加快响应速率;
-
后端部署至边缘云节点,由集中式验证改为分布式验证,就近验证,优化海外用户体验;
-
加强用户行为校验,拦截极端非正常行为;
-
加强环境检测,根据评分动态返回验证结果;
02 联动WAF的坚固防御
依托“安全加速,智能守护”的产品服务理念,YUNDUN-WAF加注行为式验证码,用于检测引擎识别后的二次验证,进一步降低误拦率,同时配合精准访问控制模块实现撞库攻击防护,配合Bot行为管理实现恶意爬虫拦截。
YUNDUN行为式验证码助力企业解决自动化工具实施的撞库、CC攻击、页面内容爬取等威胁场景,赋予被保护页面安全防护能力:非法浏览器环境检查,禁止浏览器控制台调试,headless浏览器识别,反爬虫,代理ip检测,浏览器指纹识别,验证行为轨迹识别等。
配合防CC功能
配合精准访问控制功能
配合Bot行为管理功能
同时创新设备环境评分机制,进一步加强人机检测防御能力,针对设备指纹、分辨率、浏览器UA、headless状态、设备类型、系统类型、各浏览器特征是否被伪装、用户操作轨迹及时间等几十项检测内容,对用户访问环境进行检测评分,并根据分值返回对应的策略(阻断、重试、升级验证、通过)。
通过接入Web安全加速产品,可一键开启YUNDUN行为式验证码服务,确保人机验证的同时,为互联网数字业务赋予一站式安全加速保障。
01 业务级Web应用防火墙
阻断CC攻击、恶意爬虫、黑客入侵等安全威胁,护航网站业务安全;
02 全网动态加速
400+全球节点加速,AI智能选路,保障网站业务极速访问;
03 无计量DDoS防御
30T储备带宽,全力防御,成本可控;
03 不断创新的持久迭代
YUNDUN行为验证码依托大数据分析和机器学习模型,结合盾眼实验室持续的研究创新技术,保证了行为式验证码的不断迭代升级。
YUNDUN行为式验证码核心技术
-
js多层混淆和多层加密技术,确保验证码安全性,提升响应速度;
-
前端环境检测收集,后端统一解析分析并打分,验证环节根据风险打分返回对应策略(阻断、重试、升级、通过),通过验证后下发加密后的token,智能化人机验证过程,进一步提升安全性的同时,增强用户体验;
YUNDUN行为式验证码迭代规则
-
拓展无感验证,简化用户的点触操作,加快验证流程;
-
整合YUNDUN威胁情报,联动拦截,例如直接拦截高风险客户端ip;
-
收集用户行为轨迹日志,基于大数据的实时或离线分析,动态拦截非法用户;
-
集成微信扫码等方式辅助针对非法用户的识别及拦截;
验证码技术的本质是一种鉴别人与机器的图灵测试。基于生物行为特征的捕捉与分析,结合人工智能技术,YUNDUN创新行为式验证码“击破”安全性与用户体验的矛盾点,在确保人机验证高效准确的同时,简化用户操作,提升用户体验。
来源:oschina
链接:https://my.oschina.net/u/3468210/blog/4319509