抵御自动化攻击，阿里云通信发布图形认证服务

数字化时代,网络安全已成为企业与个人用户共同关注的焦点。随着数字服务的广泛普及,用户账户的安全验证变得尤为重要。传统的验证码虽然在一定程度上起到了安全防护作用,但随着技术的进步和恶意攻击手段的不断演化,其局限性也日益凸显。

阿里云通信作为先进可信的全球云通信服务商,近日推出图形认证服务,瞄准黑灰产通过 bot 爬虫给企业造成数据失窃、短信成本骤升、盗号攻击等损害的痛点,提供全新的解决方案,帮助企业在注册/抢购/查询等业务运营过程中通过图形交互识别并防御各种机器虚拟流量,理清人机请求边界并抵御机器异常请求,让企业聚焦高价值流量服务,减少虚假流量运营。

一、图形认证,有效区分人类用户与自动化攻击

图形认证是一款通过图形交互来区分人与机器,阻止机器脚本程序滥用攻击业务和网络资源的验证码产品。它超越了传统验证码的局限,采用图形界面和交互式挑战,有效区分人类用户与自动化攻击,从而抵御脚本攻击和撞库行为。

这种认证方式的优势在于其用户友好性、安全性和适应性。

用户通过简单的图形界面操作即可完成验证,享受流畅的体验;同时,它通过分析用户的行为模式,为每一次验证交互生成行为轨迹,并通过行为轨迹模型识别是否为机器行为。此外,图形认证产品还可以根据B端客户对用户体验的要求,设置不同种类的验证形式,提供个性化的安全验证方案。

阿里云通信图形认证服务具备三大核心产品能力:

1.人机校验

可研判请求行为特征,识别 api 协议破解、web 模拟器自动化等 bot 请求,理清人机流量区分。

2.动态交互

支持滑动、文字、字序、九宫格、图标五种产品形态,根据不同场景,支持客户多样化选择。

3.bot 拦截

对 bot 机器请求特征针对性通过图形交互拦截 bot 流量,可减少虚假 bot 流量攻击,降低企业运营成本。

二、5种产品交互形态,安全防御能力升级

为满足企业将认证服务用于注册、登录、短信验证码、下单抢购、查询等业务环节的多种场景中,阿里云通信图形认证服务提供了5种产品交互形态,通过不同的方式,增加破解难度,从而提升安全性。

滑块验证

拖动滑块到缺口位置,完成拼图认证。这种方式通常具有直观的操作界面,用户只需拖动滑块至正确位置即可。操作简便,因为需要用户实际的鼠标操作,能有效防止自动化脚本攻击。

图标点选

依次按照图标顺序,在图片中完成相对应的图标点击并提交。这种验证方式通常结合视觉识别和模式识别,需要用户具备一定的视觉辨识能力。一方面增加了验证的趣味性,提高了用户参与度;同时,通过要求选择多个图标,增加自动化工具模拟的难度。

文字点选

依次按照文字顺序,在图片中完成相对应的图标点击并提交。这种验证码依赖于用户的阅读和识别能力,有时还会加入干扰元素。由于需要用户理解文字内容并进行选择,可以有效防止自动化软件的识别。

字序点选

在图片中按照相对应的语序点击文字并提交。这种验证方式需要用户记住特定的顺序,并按顺序进行选择。因为需要模拟人类的记忆和顺序识别能力,提高了自动化工具破解的难度。

九宫格验证

在九张图片中,选择三张符合图标样式的实景图片。这种验证码以网格形式出现,用户的选择可以是随机的,也可以是按特定逻辑进行。通过分割图片或文字,增加了破解难度;同时,九宫格的形式为用户提供了较大的点击区域,改善了用户体验。

同时,阿里云通信图形认证服务还具备以下优势:

1.安全防御

通过动态热更新验证图片,打击拦截机器脚本破解,阻止爬虫脚本暴力或自动化攻击业务接口,帮助企业减少业务损失。

2.稳定服务

设计全新的业务容灾、数据库容灾、运维容灾,多维度降低异常影响,保障业务连续性。

3.轻量接入

无需服务端SDK,更轻量的客户端SDK,精简客户端与服务端接入步骤与流程,最快1小时/人/端即可完成接入。

三、最佳实践

某车企此前遇到批量账号注册问题,耗费大量企业运营资源和短信验证码成本,在部署图形认证服务后,短信消耗成本降低83%。

某平台账号密码登录和重置密码环节长期遭受撞库攻击产生严重客诉影响。部署阿里云通信九宫格验证码后,有效拦截撞库请求,异常拦截90%+。

某游戏行业客户在账号注册环节长期面临批量注册的bot攻击。bot 批量注册造成业务中充斥着许多虚假账号,带来短信成本损失。通过部署阿里云通信图形验证后,bot 在发送短信和注册账号前,需要先成功通过图形验证,通过图形验证对抗,筑立业务护城河,拦截 bot 请求攻击。由此,短信请求下降 68%,有效降低了短信成本,并保护企业信息资产安全。

面对“羊毛党”和黑灰产们日益演变的攻击策略,阿里云通信将不断优化产品能力与安全性,精准识别并拦截异常访问,确保服务的稳健运行,减少业务损失。