2017年6月1日,互联网服务开始响应《中华人民共和国网络安全法》的要求实施账号实名认证。由此,手机号码成为网络世界最主要的“身份证”,也让本机号码一键认证成为可能。其中,极验是最早的直连三大运营商的五家供应商之一,早在2017年就正式对外提供一键认证接口。一键认证于2020年进入普及期,截至2023年,一键认证已广泛用于支付应用程序、电子商务网站、社交媒体及游戏应用程序等常见的互联网应用场景中。
在我们登录一些APP时,只需要点击“一键登录”就可以直接以当前手机号作为身份进行登录,无需收取短信验证码再填写短信验证码校验的繁琐过程,大大提高了用户体验。一键认证能够解决记忆成本、输入成本、泄漏风险等问题,是一个优秀且成熟的技术,能够有效降低用户记忆成本、用户的操作成本与密码泄露的风险。
但随着一键认证的广泛普及,极验发现大量客户对一键认证技术的理解存在偏差,从而埋下一些运营上的风险盲区。从2022年开始,这类风险盲区导致的业务损失案例开始越来越多,但至今却并未被行业广泛提及或重视。这可能因为一键认证属于运营或通信板块,而风险盲区属于业务安全范畴,领域略有不同。恰好极验在提供一键认证产品之前,更是从2012年开始专注并长期服务于业务安全领域。我们认为这次极验有责任去做一些普及,因此认真撰写此文。本文共有6413字,阅读大概需要12分钟,建议推荐给正在使用一键认证的相关企业工作者阅读,不论您是否为极验的客户,都希望能给您带来一些帮助。
一、“错误理解”导致业务运营的案例
最开始,我们也是从一个客户身上发现该风险盲区的。
2022年12月,我们某个社交软件行业的客户L就遭遇了一起因一键认证引发的安全损失。在这之前,他们对登录和注册场景采用一键认证&短信验证的方式一直十分满意,用户提交登录后,由运营商网关直接获取该通信环境下的真实号码,既方便快捷,也能快捷确认登录者是本人。
然而,在L公司上线某个营销活动当天,突然出现了大量的虚假账号在短时间内频繁登录并薅取奖励,客户的客服部门在两小时内收到了上百份的用户投诉,赠送给真实用户的福利都被虚假账号薅走。L公司的财务报表显示,不算上带宽和人工等成本,光是本次发放奖励就造成了20多万元的损失!导致L公司的营销活动直接陷入僵局。
L公司的业务负责人急忙找到了极验寻求帮助,他们知道极验一直从事业务安全,希望能从业务安全的角度帮他们解决当时棘手的问题。通过极验安全专家与客户进行回溯分析,很快定位了问题的根源:L公司将通过一键认证的用户都予以直接登录。殊不知一键认证仅验证了本人身份确认,无法起到身份安全确认。将没有进行身份安全确认的账号予以直接放行,必然为日后埋下业务安全风险。
当我们与客户进一步分析数据时可谓触目惊心:在本次的营销活动中,L公司领取奖励的异常风险账号占据了总量的65%,共有29287名用户参与了活动,但风险用户数竟高达19072名!并且,很多“风险账号”都不是第一次登录了,通过此漏洞进来的最早一批风险账号可以追溯到2022年8月,也就是说,大量“风险账号”与“正常账号”在4个月的时间里长期混在一起,哪怕公司有专门的风控团队,清理起来也比较麻烦。
因此,一键认证的作用只是本人身份确认,确认该手机号是用户本人登录。如果我们错误理解成身份安全确认,那么很容易给公司业务埋下巨大的安全隐患。
二、“错误理解”已成普遍存在的风险盲区
在帮助L公司解决了他们的业务风险问题后,我们开始思考,这样的安全隐患究竟是L公司的个案,还是行业内普遍存在的风险盲区?
于是极验开始联系一键认证客户进行业务安全调研,仅针对一键认证场景进行最简单的风险库筛查。数据显示,在调研的70家客户中,风险流量平均占总请求流量的13.74%,其中最高达到23.08%为社交行业。而进一步查看他们的业务逻辑,发现这其中95%的公司都是下意识地把“一键认证”这样一个本人身份确认的技术“错误理解”成身份安全确认,从而缺少有效的安全风控措施。
同时,这种安全隐患还与企业所处的行业关系密切。在通讯社交行业中,风险请求出现的概率最高,几乎占总请求量的23%以上,每年会给企业造成高达几十万元的经济损失。据极验分析,这可能与社交行业容易滋生杀猪盘、诈骗等违法问题有关。这些违法行为需要大量看起来级别很高的“可信”账号进行诈骗,而这些账号都是需要每天登录来慢慢“养”起来的。(关于社交行业的黑产风险,我们之后会专门写文章来进行详细探讨)
在游戏、电商和企业服务行业中,风险账号的占比也均在10%以上。据不完全统计,每登录了10个用户,就至少有1-2个羊毛党正在薅取你的资源。由此,我们通过数据分析得出了“因对一键认证错误理解导致的风险隐患其实是普遍存在的”这一结论。同样的结论,我们也能从黑产相关信息分析得出,请看下面这张图。
这是洛阳警方破获一个特大系列网络赌博案件中查获的“特制手机”,一部手机插40张电话卡进行网络赌博,涉案资金流水高达上亿元。这种“特制手机”在黑产产业链中大量存在且可购买的。
我们试想一下:
- 如果黑产使用该“特制手机”,是否能以40个不同“身份”完成一键认证?
- 如果以现在您公司的业务逻辑,完成一键认证是否就让这40个风险账号直接登录进您的APP了?
- 如果这40个风险账号登录进了您的APP,他们以后每天都能顺利登录吗?
- 如果这40个风险账号长期潜伏在您的APP里,会对您APP造成业务损失吗?
- 您认为您的APP中现在有这样的风险账号吗?
我想您的心里应该有了答案。一键认证带来方便快捷的同时也让不法分子趁机钻了空子,但真正的原因在于我们对一键认证的“错误理解”,从而埋下了风险盲区,而且这类风险盲区绝非个例,而是普遍存在于大量企业的业务当中。各行各业都有必要对此提高警惕,进行排查。
三、那么“正确理解”是什么?
前面我们已经讲到了一键认证普遍存在的风险盲区源于客户对一键认证的“错误理解”所致。那么,如果我们有意去规避这类风险盲区,首先我们得弄清楚“正确理解”是什么?
前面我们说到,一键认证只用于本人身份确认,不可直接理解为身份安全确认。当我们在日常的业务逻辑中,只要我们给一个账号予以登录放行时,其实就默认发放了身份安全的“好人牌”,从而埋下了风险隐患。甚至在一些组织中,“好人牌”是运营部门无意识发的,然后其他部门都默认了该风险账号的好人身份,导致错误在组织间被不断放大传递(类似综艺节目里的击鼓传花游戏)。
身份安全确认正确的理解,必须经过两个步骤:第一步本人身份确认,第二步可疑风险筛查,两个步骤缺一不可。因此我们明白了,之前的理解错误直接导致了我们在业务逻辑中容易漏掉了第二步:可疑风险筛查。
其实,一键认证本身运用的网关取号技术并没有任何问题。作为一个接口,一键认证能基于三大运营商网络对 SIM 卡电信级认证能力匹配用户身份,确认身份是否是本人。但是在绝大多数业务负责人的习惯中,只要能够一键认证成功的账号就直接视为正常账号,并予以放行。而这中间就存在一个业务漏洞:放行的账号是否安全?尽管身份是本人没错,但不等于身份就是安全的,身份确认与风险筛查缺一不可。
本人身份确认与可疑风险筛查为什么缺一不可?放到我们的日常生活中就非常好理解。以交警拦车检查为例,交警在检查放行前有两个重要步骤,第一步,检查驾照确保驾照照片与司机样貌一致(这一步相当于本人身份确认,也就是我们网关取号的作用)。第二步,在交通系统中输入驾照信息确保无违法行为,或者观察车内情况如查看酒驾、超载等进一步排除风险(这一步相当于可疑风险筛查)。依次完成了这两步后,交警才会予以放行。
在我们的日常运营中,如果对一键认证“错误理解”,就会导致漏掉了第二步可疑风险筛查的步骤就予以通过,那么就等同于交警只确认驾照,不查酒驾、超载、后排乘客是否系安全带……交警不核查违法行为就予以放行,很多违法问题就不能在第一时间第一现场予以及时制止。
所以,回归到一键认证,可疑风险筛查就起到了交警第二个动作的作用,是不可以漏掉的,一旦漏掉就会埋下风险隐患。
四、“错误理解”的根源与客户心声
如上文所述,我们发现了“错误理解”导致的问题,也找到了“正确理解”。起初我们认为只需要跟客户简单交流几句,同步“理解”上的偏差,就能有效解决一键认证隐藏在运营中的风险盲区。然而,事实上没有我们想得这么简单。
1.“错误理解”源于思考角度
在我们与大量客户同步“理解”偏差的工作中发现,客户对一键认证的“错误理解”源于当时思考的角度,本身并不存在对错。以下是我们在与客户的交流中发现的三种客户典型的思考角度
第一种思考角度——“运营型思维”,产生这类思考角度的客户大多偏运营专业,对安全相关了解较少。这类客户占35%;大部分这类客户从事运营岗,更关注用户在登录时的交互体验,而较少涉及安全相关知识。所以,他们产生“错误理解”只是因为他们缺乏安全方面的信息。当我们对这类客户进行相关信息的补充之后,他们能很快接受该信息,在沟通同步中更容易接受“正确理解”。
第二种思考角度——“技术型思维”,产生这类思考角度的客户大多偏工程或技术,也思考过这类问题,但由于一个细节思考盲区产生了“错误理解”,这类客户占30%;这类客户有一定的技术能力,往往从工程或技术的角度来看待一键认证。他们认为一键认证与早期的短信身份验证的作用是相同的。既然一键认证技术是短信身份验证技术的替换技术,那么工程上只需要将曾经的短信身份验证替换成一键认证即可。
本身这种工程思路没有任何问题,但背后有一个隐藏的细节盲区:曾经的短信身份验证技术的用户体验很差,需要完成接收短信、识别数字验证码、填写数字等这些繁琐的操作。但殊不知,这些繁琐的操作对于黑产而言也是一定阻碍,虽然不算太高,但短信身份验证技术还是能通过提高黑产通过的成本,来起到一定的风险筛查作用。然而替换成一键认证后,就连这不算太高的风险筛查作用也没有了。当我们对这类客户揭示此细节点后,这类客户也能很快理解。
第三种思维角度——“组织型思维”,产生这类思考角度的客户所在的企业是有专门的安全部门,甚至还有专门的风控体系。这类客户占35%。一般运营部门负责一键认证,安全部门负责风控,各司其职。这种定义清晰的组织本身没有问题,但需要注意:运营部门在第一步本人身份确认后就给账号发了“好人卡”予以放行,需要安全部门事后再次采取风控措施进行风险筛查补救,白白耗费了精力。就像是一个交警在第一步查了驾照就放行,等另一个交警在下一个路口再做第二步查违章查酒驾,大大影响了组织协同的效率。
我们通过交流发现,确实有部分企业能在后期通过安全部门排查到风险,但“一边放,一边查”的方式效率较低。如果能在最开始就能将“运营”与“安全”协同起来,那效率一定会更高。在交流中我们也发现有少数几家企业一直是这样做的,说明这几家企业在组织协同上做得非常优秀!
2.客户的心声
通过与大量客户的坦诚交流,让我们不仅更了解客户的思维角度,更让我们有机会听到了他们的心声与现实的无奈。
在我们的普及推进中,很多客户慢慢理解并认识到这个风险盲区,但从客户的角度而言他们开始面临一个选择——解决这个风险还是忽视这个风险?“当然是解决风险” 可能很多人直观的反应。但正处于业务线的客户,很可能会被动地选择后者忽视风险。所有的风险的解决都是需要成本的——采购的成本、部署的成本、组织协同的成本等等,这才是客户真正处于业务线做决策时最真实的无奈!他们不是不想解决风险,而是解决需要成本与代价。
五、团队半年的坚持与30家种子客户的支持
“我们不想看到客户在风险盲区中再受到业务损失!我们不想看到客户因现实的成本而被迫去忽视风险!”极验一键认证团队于2022年底开始计划「一键认证安全版」。团队从一开始就确定了「一键认证安全版」的初衷:“站在客户的角度,让客户用最低的成本去获得一键登录最大的业务价值”。团队在经过长达半年的尝试迭代后,「一键认证安全版」终于达到了团队设计此产品的初衷。
“让客户用最低的成本去获得”,我们办到了:
只要是现有极验一键认证客户,无需额外费用,无需额外部署,扫码申请即可开通。
在这背后,我们团队投入了无数的测算讨论、新功能开发与数据库调整。我们多做一些,只为我们的客户能够少做一些。
“让客户获得一键登录最大的业务价值”,我们也办到了:
在原有极验一键登录常规版功能的基础上,我们新增了“风险筛查预警”功能让风险不再是盲区,我们新增了“分析报告模块”让客户组织协同更方便,我们还新增“失败归因分析”、“号机细化统计”等对客户而言工作能更顺手点的细节功能。
当我们与客户成为朋友时,我们希望我们的朋友工作能更安全、更顺手。只要我们能够做的,我们都尽量多做一些。
在「一键认证安全版」完成开发测试后,有30家来自教育、游戏、房产、社交和娱乐等行业的极验一键认证常规版客户进行了内测使用。在内测过程中,客户一直给我们反馈交流帮助我们迭代一键认证安全版。其中,22家客户表示可疑风险筛查功能在检测异常账号方面对他们提供了更多的判断依据;为企业准确统计出一号多机、一机多号和频繁校验的数据,对企业的运营决策提供了有效且易于理解的支撑;17家客户表示新功能的免费性十分友好,帮助企业节省了安全的沉没成本;11家客户经常下载每日生成的安全隐患数据报告,能够帮助企业更快速、更准确地应对安全威胁。
我们一键登录团队跟小编说,当时他们也曾犹豫过,跟业内一样提供一个常规接口不就可以了吗,干嘛折腾!但当看到内测客户反馈“安全版”与“常规版”确实大大不同时,他们觉得之前所有的坚持都是值得的!
六、「一键认证安全版」五大好评新增功能
在第一批内测中,我们特别荣幸能让30家不同领域的客户使用了「一键认证安全版」。结合客户的反馈信息与对实际情况的观察,我们凝练出了「一键认证安全版」在内测客户中最推崇的的五大核心好评功能,下面我们来一一具体介绍:
1)排查风险身份账号:免费升级风险筛查预警功能,在无需额外成本的前提下最大限度更早发现风险。
某中小型企业业务负责人曾向我们反馈,进行号码校验时只能验证号码的真实性,却无法得知潜在的身份风险。经过评估后,我们设计出支持进阶风险排查这项功能,帮助企业更加全面地评估风险,让运营人员能在校验号码的基础上进行身份风险的排查,确保用户的真实身份。
2)提供专业分析报告:自动生成数据报告功能,便于运营部门与安全等协同部门快速传递信息。
一家金融科技公司的安全团队负责人向我们反馈:系统自动生成的专业数据报告为企业提供了有力的安全情报,能够更快速、更准确地应对安全威胁,同时也加强了安全部门与运营部门之间的协作。过去,信息传递通常会滞后,当企业检测到风险情况时为时已晚。而现在,通过一键生成的数据报告,企业能够随时从运营部门处掌握有关身份风险的信息。
3)验证失败归因分析:定位客户无法通过一键登录的具体原因。
之前,一些运营人员在处理验证失败的情况时,很难准确判断失败的原因。有时候用户反馈问题也不够明确。但是有了风险排查技术,他们就可以精准地识别出因用户手机环境异常而导致的验证失败,比如SIM卡缺失或者数据网络未启用等问题。这对优化用户转化率帮助很大,通过分析失败的原因分布和数量,客户可以更有针对性地改进用户验证的流程和提示,提高用户的成功率。以前,我们只能猜测失败的原因,现在有了数据支持,我们能够更加科学地进行决策。”另外一家游戏的运营负责人这样评价「一键认证安全版」。
在我们回访过程中,一家游戏公司业务负责人反馈:在统计账号的时候经常会遇到遗漏的情况,因为有些账号可能会使用不同的设备。为了解决账号统计重复的情况,部分企业会采购设备指纹来解决此统计问题,但无疑又是一笔预算开支,单为精细化统计来购买设备指纹又好像必要性不高。考虑到多数中小企业都可能存在以上痛点,极验从客户的角度出发,决定在不增加任何成本的情况下,应用极验设备指纹标识能力,在「一键认证安全版」中提供精细化统计功能。
5)消费与统计数据界面升级:统一整合客户所需功能,数据查看更清晰。消费统计是客户使用一键登录后台查看最多的页面,基于之前大量客户的反馈,「一键认证安全版」将过去分散的功能进行了统一整合,让客户一打开数据统计后台就能迅速地了解前一日用户的使用情况,轻松地监控用户的余额和消费,让客户统计数据更清晰、更便捷。
七、申请第二批客户开通
截至8月25日,第一批已开通的30家企业通过「一键认证安全版」共排查出了275791个风险账号。我们收到了24家企业主动的正向反馈,且版本功能稳定,在无需任何客户侧改变的情况下就有效地规避了风险盲区。
如今,为帮助更多极验一键认证常规版的客户能享受到更安全的产品体验,我们正式开放了第二批升级通道。仍然无需费用,无需部署,只需扫描以下二维码填写表单进行申请,极验服务团队帮您开启升级版本后,即可免费从一键登录常规版升级为一键认证安全版,届时您登录后台即可体验到升级版的新功能。
如果您是极验一键认证常规版客户,欢迎扫码申请,极验团队会尽快帮您免费升级至「一键认证安全版」。如果您目前不是极验客户,同样有「一键认证安全版」排查风险账号的需求,也欢迎填写上方表单,我们的商务专家会尽快与您联系。我们期待收到更多您的宝贵意见~