像解锁手机一样,拖动按钮到适当位置完成拼图即可完成验证。这就是“极验验证”的验证解决方案。相较于传统的码式验证,由于省去了“识别”、“输入”等过程,用户验证时间从原来的可能10多秒缩短到仅需2、3秒。而极验创始人吴渊称,虽然过程变简单了,但安全性却比之前的码式验证高出许多。
吴渊透露,就是这简单的一下拖动,后台却能提取超过40个变量,包括拖动位置、拖动速度等显性变量,和服务器的数据交换等隐性变量,以及一些随机性变量。基于以上行为变量,再通过极验核心的多重行为判别模型,使得后台能够区分出“人”与“恶意程序”。
传统的码式验证策略单一、可见、而且是静态的。恶意程序通过OCR识别技术已经能非常成熟地达到攻击效果。吴渊很难量化的描述极验的行为验证在安全性上有多大提升,但他给了一个实例。265G网游门户是极验的客户之一,它每年举办的游戏投票排行活动“龙虎榜”都存在买榜嫌疑。而最近这一次,有不少提供买榜服务的黑客是纷纷找上门来,说他家的验证实在是没办法攻破,但已经和顾客签了约,所以求合作。当然,最后是拒绝。
团队方面,吴渊以前是武汉大学的一名教师,在武大的测绘遥感信息国家重点实验室(据说武大的这个学科在世界都是数一数二),研究方向包含计算机视觉和机器学习。而极验用到的理论则包括计算机视觉、机器学习、生物特征学、信息安全等学科的交叉。团队的另一位创始人此前在华为工作。而主要成员均是吴渊所在领域的一些优秀毕业生,多数在国际大赛上获过奖。简单来说,这是一个典型的学院派团队。
目前,极验放出的产品叫gtWeb,针对PC端网站的验证解决方案。去年10月推出,在没有任何推广的情况下已获得超过1300家网站用户,其中游戏网站属大类,另外也包括对安全性要求较高的银行、证券等机构。极验今年还将推出gtApp(针对移动端)、gtUltimate(针对银行、证券等大型客户提供定制化解决方案)。
极验在去年3月拿到杭州天使湾小额种子投资,今年2月拿到湖北省高投的一轮天使。
谈到对验证的革新,不得不提到点触。它同样提出基于行为的验证。用户体验上,点触需要用户阅读验证说明,如“请将领带拖至左图适当位置”,时间可能稍长。而安全性这块核心壁垒,两家各执一词,很难比较,站长们用心去感受吧。有意思的是,点触团队也是学院派,是由哈工大几名毕业生创办,拿的天使也来自杭州的一家投资机构,传媒梦工场。