Recuerdo que el verano pasado, ayudé a una plataforma social para hacer frente a los ataques de registro malicioso, esa noche en los registros del servidor de repente apareció decenas de miles de nuevas cuentas, todo el robot fantasma, la plataforma fue casi arrastrado hacia abajo - en estos días, incluso el CDN tienen que protegerse contra “compañeros de equipo”, después de todo, no es sólo una molestia, puede paralizar directamente el negocio. Después de todo, el registro malicioso no es sólo una molestia, puede paralizar directamente el negocio.
Registro malicioso de este asunto, en la superficie es la proliferación de cuentas basura, pero la fuga de datos oculta profunda, transacciones fraudulentas, e incluso ataques DDoS de los peligros ocultos; He probado algunas plataformas sociales principales, y encontró que simplemente se basan en las restricciones de IP o código de verificación básica no puede bloquear los scripts avanzados, los robots ahora pueden simular el comportamiento humano, el registro a granel, la publicación de anuncios, cepillarse los comentarios, e incluso robar la identidad del usuario.
¿Por qué fallan los métodos tradicionales? En pocas palabras, la lista negra de IP es fácil de matar por error a los usuarios reales, y los códigos de autenticación ordinarios, tales como CAPTCHA digital, ha sido agrietado por el reconocimiento de imágenes de IA a todos y cada uno; el año pasado, participé en un proyecto, la plataforma utiliza un código de autenticación simple, el resultado de la tasa de éxito del robot de hasta 80%, el número de miedo, ¿verdad? No creas en esos “una clave anti-registro” retórica de marketing, la seguridad sin bala de plata.
Para resolver completamente el registro malicioso, tenemos que cortarlo de raíz: la combinación de CAPTCHA y huella digital del dispositivo es la clave; CAPTCHA se encarga de cuestionar la autenticidad del usuario, mientras que la huella digital del dispositivo rastrea la unicidad del dispositivo, un enfoque doble que hará invisibles a los bots.
Comencemos con CAPTCHA: no todos los CAPTCHAs funcionan, los CAPTCHAs gráficos (como el texto retorcido) son obsoletos, recomiendo CAPTCHAs de comportamiento como rompecabezas de deslizamiento o golpeteo, que requieren coordinación mano-ojo humana, y son difíciles de simular para las máquinas; por ejemplo, CDN5 tiene un CAPTCHA inteligente integrado en su servicio, que ajusta dinámicamente la dificultad basada en el riesgo - deslizamiento simple para bajo riesgo, e interacción de múltiples puntos para alto riesgo. Deslizamiento simple para bajo riesgo, e interacción multipunto para alto riesgo, lo que ha reducido la tasa de registros maliciosos en 60% en pruebas reales.
Pero CAPTCHA no es suficiente, la huella digital del dispositivo para rellenar; ¿qué es la huella digital del dispositivo? Para decirlo sin rodeos, es a través de las características del navegador, información de hardware (como la resolución de pantalla, lista de fuentes) para generar un identificador único, incluso si el usuario cambia de IP, el ID del dispositivo puede ser reconocido; I herramientas de uso común son FPJS o bibliotecas de huellas dactilares de desarrollo propio, aquí para dar un ejemplo de código, cómo utilizar JavaScript para recopilar datos básicos de huellas dactilares:
Este código es sólo la versión básica, en la práctica, usted tiene que agregar fuentes de entropía como WebGL renderizado o contexto de audio, para mejorar la singularidad; Ayudé a CDN07 integrado este conjunto de cosas, su CDN de alta defensa, dispositivo de huellas dactilares puede identificar 99,8% dispositivos, repetir los intentos de registro para bloquear directamente.
El flujo de trabajo de la combinación de CAPTCHA y huella dactilar del dispositivo es el siguiente: cuando un usuario se registra, se activa primero el desafío CAPTCHA y, tras superar el desafío, el servidor comprueba la huella dactilar del dispositivo; si la huella dactilar se ha asociado a un comportamiento malicioso (por ejemplo, múltiples intentos en un breve periodo de tiempo), se deniega el registro aunque el CAPTCHA supere el desafío; los datos de pruebas reales muestran que esta estrategia combinada puede reducir las cuentas maliciosas en 85% o más, y la tasa de falsos positivos es de solo 0,1%. 85% o más, y la tasa de falsos positivos es de sólo 0,1%.
Escupe una palabra: algunas plataformas en aras de la experiencia del usuario, cortar por completo el CAPTCHA, el resultado es que el robot se lava podrido - la seguridad y la experiencia tienen que ser equilibrados, no ser extrema; por ejemplo, la solución de 08Host es inteligente, utilizan el modelo de puntuación de riesgo: los dispositivos de bajo riesgo (como la primera vez para visitar) libre de la CAPTCHA, de alto riesgo es fortalecer la validación, de modo que el verdadero. usuarios no tengan sentimientos y los bots lo pasen mal.
Detalles técnicos, la implementación del lado del servidor es importante; los datos de la huella digital del dispositivo necesitan ser almacenados y emparejados, prefiero usar Redis para almacenar el hash de la huella digital, establecer el TTL para limpiar automáticamente los datos antiguos para evitar la hinchazón de la base de datos. Aquí hay un ejemplo Node.js:
Este código es sencillo pero eficaz, y cuando se despliega realmente hay que añadir modelos de aprendizaje automático para analizar patrones de comportamiento, como la frecuencia de registro, anomalías geográficas, etc.; tanto CDN5 como CDN07 ofrecen integración API, pero 08Host es aún más implacable, con su análisis de comportamiento en tiempo real incorporado, que ajusta automáticamente los umbrales.
Comparación de datos: sólo con CAPTCHA, la tasa de bloqueo de registros maliciosos es de aproximadamente 50-70%, más la huella digital del dispositivo se dispara a 90-95%; una aplicación social que probé el año pasado tenía más de 3.000 cuentas maliciosas al día antes de la integración, y después de la integración se redujo a menos de 200, y la carga del servidor se redujo a la mitad - el efecto, vale la pena el precio.
Una última advertencia: no esperes acabar con todo, el chantaje evoluciona; las actualizaciones periódicas de los algoritmos de huellas dactilares y los tipos de CAPTCHA son clave, y yo reviso mi política de seguridad trimestralmente. En resumen, combinar CAPTCHA y huellas digitales de dispositivos no es una opción, sino una obligación, especialmente para las plataformas sociales.
Si usted está eligiendo un servicio CDN, CDN5 Captcha es fuerte pero la huella digital es débil, CDN07 Device Fingerprinting es preciso pero más caro, 08Host es rentable y adecuado para proyectos pequeños y medianos - elíjalo según sea necesario, cosas de seguridad, invirtiendo más de lo que se arrepiente.

