昨天我在打開閑魚App的時候,遇到了這樣的“安全校驗”:
當時我就樂了,這九張圖里面,八張都是女性服裝,衣服啊絲襪什么的,這些我這個單身狗完全是不可能買的嘛。我把這張截圖發到朋友圈,果然引來很多吐槽。
剛好朋友圈評論中有朋友提到這個驗證的邏輯,笑過了,就來認真討論一下這個安全校驗背后的邏輯。為了讓思路更清晰,我用提問的方式層層展開。
1.這個界面的性質是什么?
我們先來確認一下,這是不是某種打開App的密碼?
顯然不是,因為閑魚App是不需要打開密碼的。閑魚的私密等級是不如支付寶的,支付寶都不需要打開密碼,閑魚自然也是不需要的。
而且,這個驗證只出現一次,驗證完以后就不會再出現。
所以,這其實就是驗證碼。
2.為什么需要驗證碼?
我上周剛剛給手機刷機,刷完當時就裝上了閑魚,今天是第一次打開。對于閑魚App來說,這和在一臺新設備上登錄沒什么區別,所以要開啟安全驗證。
說到這,背后有個隱含的邏輯:在新設備上登錄某個App,需要開啟安全驗證。
很多人到這一步,會把這些事情當作理所當然,而忽視了背后真正的原因。這個問題也可以換個說法:
在新設備上登錄時要輸入驗證碼,那這個驗證碼是在防范什么?
3.這個驗證碼在防范什么?
驗證碼從誕生之初起,就是為了防范區別人和機器人,這里的機器人代指能模擬人進行注冊或者登錄等行為的程序。
說到這,就要涉及到賬戶安全了。
早期的驗證碼最主要的作用是防范惡意注冊,一般是一些變形的數字,人可以讀懂但是機器人識別不了。例如這樣:
后來出現了能進行圖像識別的機器人,這種驗證碼就漸漸沒落了,有的越來越難認,有的演化成這樣:
近年來隨著移動互聯網的發展,驗證碼的場景發生了變化,很多時候我們不僅需要登錄者持有正確的賬號和密碼,還希望他是在綁定的手機上登錄,這時候,短信驗證碼就被推上了歷史的舞臺。
從某種意義上來說,驗證碼可能比賬號密碼還重要。
現在很流行“撞庫”攻擊,很多用戶在不同網站和App用一套賬號和密碼,只要其中一處被黑客攻破,賬號和密碼就會被收集到社工庫,然后用工具對其他網站或者App進行撞庫攻擊。我曾經搜索過自己被盜過的賬號和密碼,在社工庫中找到了12處,令人觸目驚心。
社工庫中的賬號和密碼太多,互聯網上的網站和App也太多,黑客不可能一個個手動輸入,必須依賴工具批量登錄,這時候,即使登錄的賬號和密碼都正確,也很難過驗證碼的關。從這個角度上來說,驗證碼可能比賬號密碼還管用。
4.為什么不直接用短信驗證碼?
前面我們已經提到,短信驗證碼同樣具備驗證登錄者的作用。既然都是驗證碼,那為什么不用短信呢?
現在絕大部分App都在用短信驗證,包括銀行的客戶端,可見短信驗證的安全性也是經得住考驗的。
但是,“選擇購買過的商品”這種方式比短信驗證碼更加安全。
因為“選擇購買過的商品”的目標是這個賬號背后的人,而短信驗證碼的目標是這個賬號曾經綁定的手機,人顯然比手機更靠譜。
另外,用這種方式驗證比發生短信驗證碼的成本要低一些。
5.這9張圖的內容是怎么決定的?
說完了安全,就需要說一下產品了。每個產品都有自身的風格,這個驗證碼既然是App登錄的一個環節,自然也是要契合這個風格的。
坦率地說,從9張圖中選1張自己買過的東西這種方式還是很有趣的,而且也不需要像短信驗證碼那樣讓用戶等待,徒增枯燥之感。
此時還得考慮一個新問題:如果用戶忘記自己買過什么東西怎么辦?
這也是選這種驗證方式不選短信驗證碼的不足之處——沒有人讀不出短信驗證碼,但是未必所有人能記住之前買過的商品。
為了解決這個問題,閑魚在算法上做了一些設計(以下都是我的推測):
一共九張圖,除了一張用戶買過的商品之外,其余八張全部推送和用戶從來不會購買的商品。這樣一來,用戶即使忘記了自己購買過的商品,也能推斷出哪個是自己買過的。比如說給我推送8張母嬰用品,我自然也不會去點,即使我忘了自己買過的是哪個。
至于如何給用戶推送8張完全不會購買的商品,這個就依賴淘寶的大數據支持了。根據用戶以往的購買記錄,勾勒出一個用戶畫像,然后就可以判斷出他不會買什么了。
以上可以解釋,為何9張驗證的圖片,八張風格如此高度統一,因為那是系統選擇了某一類你最不可能買的商品。
