用风控来保障用户帐号安

如果你注册使用过国外网站的服务,比如Google的Gmail。你会发现只要你知道帐号的密码,你就可以进行一切操作,包括修改安全问题答案甚至可以直接删除帐号。(当然,后来Google也做了一些“两步验证”的方法来保护用户的安全。)

 

其实不仅是Google,国外的其它注明网站大多也是这种密码登录然后取得整个帐号所有权的情况。

这些公司对用户帐号的保护似乎都有些过于不安全,反观国内,在这方面做的要严格的多。例如新浪,网易,搜狐,腾讯对自己的帐号有密码保护问题,电话绑定,安全码,身份证验证等措施。

 

同时,不仅是国外的互联网公司,国外的电子商务,第三方支付都没有那么多的密保工具。甚至Visa、Master通道的支付,都是无需密码的。

 

深入国外网站和在线银行研究你就会发现原因:

(一)国外完善的信用卡制度和保险制度,用完善的制度来保护用户,在线资金的被盗损失也大都由银行和保险公司来赔偿,用户的风险被转移。

(二)强大的风控规则。比如非常有名的Paypal,其风控模型据说现在都是保密,非常优秀。对一笔支付交易而言,在它发生之前、发生过程中及发生过程后,都会被风控系统严密监控,以确保支付及客户资产安全。而所有的所有秘密,都归结到一个词头上:规则。风控系统是一系列规则的集合,任何再智能的风控方案,都绕不开规则二字。

所以,没有那么多密保工具可能让用户感觉不安全(国内用户已经习惯了各种密保措施)。实际上,如果自己的风控做的足够强大,用户的帐号安全完全可以保障。

今天风控已经不仅仅是银行和支付系统在使用。一些普通服务的互联网巨头也开始了用风控来保障帐号的安全。最近Google在其官方Blog发表了一篇关于Google如何对抗盗号者做法的文章。

 

原文题目是“An update on our war against account hijackers”

http://googleonlinesecurity.blogspot.com/2013/02/an-update-on-our-war-against-account.html

 

其中最重要的两部分翻译成中文如下:(而其中最最关键的部分我用红色字体标注)。

然后你是不是就明白了呢~~背后做的足够多,才可能让用户操作足够简单~

做的足够优秀,一个password就足够了~
垃圾邮件发送者的新伎俩——盗取账户

垃圾邮件发送者会通过你的已知联系人账户向你发送垃圾邮件,这样可以提高垃圾邮件突破过滤器的几率。为达到此目的,他首先需要侵入您的已知联系人账户。这意味着许多垃圾邮件发送者正转变为账户窃贼。网络罪犯们每天侵入各家网站,盗取用户名及密码——这些相当于登录账户的在线“钥匙”。接着,罪犯会将这些数据 在黑市上出售,或用其从事不法行为。由于许多人习惯为不同的账户设置相同密码,因此从一个网站盗取的密码通常也适用于其它网站。

 

一旦密码到手,攻击者便会尝试侵入各大网站及服务的用户账户。我们曾见过一名攻击者每天使用盗取的密码入侵一百万个Google账户,一次活动要持续数周时间。还有一个团伙平均每秒试图登录的账号超过了100个。与Google相比,其它服务往往更容易受到此类攻击。当有人试图登录你的Google账户时,我们的安全系统所作的绝不仅仅是检查密码的正确与否

 

Google的安全系统如何帮助你保护自己的账户

无论你是通过网络浏览器每月登录一次Google,还是通过邮件接收系统每五分钟查收一次,我们的安全系统都会在你每次登录账户时进行复杂的风险分析,以判断登录者为用户本人的可能性。事实上,每一次判断,我们所要考虑的变量都要超过120种。

 

如果某次登录因某种原因被判定为可疑或是存在风险——例如登录地点与上一次相隔十分万八千里——我们将向登录者询问一些关于账户的简单问题。例如,我们可能要求对方输入绑定账户的电话号码,或是要求对方回答你设置的安全问题。一般来说,这些问题对盗取账户者来说很难回答,但对用户本人来说则十分容易。通过采取诸如此类的安全措施,自2011年盗取账户行为达到高峰以来,我们成功将被盗账户的数量减少了99.7%。 

      其实,无论一个帐号系统规则制定的多么严格、限制的大多是正常用户。

强大的监控、数据分析系统才是一个真正安全和便捷的处理策略。

发表评论

电子邮件地址不会被公开。 必填项已用*标注