像解锁手机一样,拖动按钮到适当位置完成拼图即可完成验证。这就是“”的验证解决方案。相较于传统的码式验证,由于省去了“识别”、“输入”等过程,用户验证时间从原来的可能 10 多秒缩短到仅需 2、3 秒。而极验创始人吴渊称,虽然过程变简单了,但安全性却比之前的码式验证高出许多。
吴渊透露,就是这简单的一下拖动,后台却能提取超过 40 个变量,包括拖动位置、拖动速度等显性变量,和服务器的数据交换等隐性变量,以及一些随机性变量。基于以上行为变量,再通过极验核心的多重行为判别模型,使得后台能够区分出“人”与“恶意程序”。
传统的码式验证策略单一、可见、而且是静态的。恶意程序通过 OCR 识别技术已经能非常成熟地达到攻击效果。吴渊很难量化的描述极验的行为验证在安全性上有多大提升,但他给了一个实例。265G 网游门户是极验的客户之一,它每年举办的游戏投票排行活动“龙虎榜”都存在买榜嫌疑。而最近这一次,有不少提供买榜服务的黑客是纷纷找上门来,说他家的验证实在是没办法攻破,但已经和顾客签了约,所以求合作。当然,最后是拒绝。
团队方面,吴渊以前是武汉大学的一名教师,在武大的测绘遥感信息国家重点实验室(据说武大的这个学科在世界都是数一数二),研究方向包含计算机视觉和机器学习。而极验用到的理论则包括计算机视觉、机器学习、生物特征学、信息安全等学科的交叉。团队的另一位创始人此前在华为工作。而主要成员均是吴渊所在领域的一些优秀毕业生,多数在国际大赛上获过奖。简单来说,这是一个典型的学院派团队。
目前,极验放出的产品叫 gtWeb,针对 PC 端网站的验证解决方案。去年 10 月推出,在没有任何推广的情况下已获得超过 1300 家网站用户,其中游戏网站属大类,另外也包括对安全性要求较高的银行、证券等机构。极验今年还将推出 gtApp(针对移动端)、gtUltimate(针对银行、证券等大型客户提供定制化解决方案)。
极验在去年 3 月拿到杭州天使湾小额种子投资,今年 2 月拿到湖北省高投的一轮天使。
谈到对验证的革新,不得不提到。它同样提出基于行为的验证。用户体验上,点触需要用户阅读验证说明,如“请将领带拖至左图适当位置”,时间可能稍长。而安全性这块核心壁垒,两家各执一词,很难比较,站长们用心去感受吧。有意思的是,点触团队也是学院派,是由哈工大几名毕业生创办,拿的天使也来自杭州的一家投资机构,传媒梦工场。
小新点评:极验验证通过拖动滑块来验证,设计本身很简单,估计是从手机解锁获得灵感。但是操作上可能有些许难度,要移动到指定位置,尤其对于鼠标不灵敏或者操作不熟练的人来讲,有点难度。小新倒是觉得点触的交互效果更好一些,目前其网站上的案例都是指示用户去点击相应的文字,操作上容易得多。总之,点击比拖动更易于完成。这指是在电脑上,鼠标操作为主的场景。当然,在手机上,拖动应该会更好。也有的产品出现过,貌似效果一般。
