浅析账号体系安全-携程.pdf

浅析账号体系安全携程信息安全部2015/11/212015年8月加入携程,负责业务安全,产品安全,移动安全相关2015/11/22/11/23与业务安全相关性直接相关:1营销活动----马甲,羊毛党,黄牛2金融安全----盗号,盗卡,欺诈,诈骗(支付,卡券,积分,理财产品,用户个人资产)2015/11/241营销没有达到预期2大量刷单浪费成本3用户信息泄露4用户资金损失。。。。较大影响:1公司直接资金损失(自身营销费用,用户赔偿)2信誉损失3金融产品强制关停2015/11/25-营销活动营销防刷—核心:同一个人的判断(同一批)1注册限制:图片验证码,短信验证码,语音验证码2注册数据收集,建模,针对马甲账号打标示(指纹,行为识别,生物识别等)3用户价值体系,从注册开始,通过维度数据建立不同用户价值4行为点控制,通过维度数据控制黄牛行为,增加验证项提高其成本结果:羊毛党,黄牛,以利益驱动为基础,在防御上采用纵深防御,拉长战线1提高获利难度2适当结合业务,降低获利程度(太大的利益不是技术能够解决的)2015/11/26-金融安全(账号体系)账号安全(浅析账号)-核心:人机识别1防撞库,人机识别(规则,模型等)2数据搜集,账号标签(指纹,行为,生物信息等)3用户价值体系(信用,行为频度等)应用功能点:1提示高危账号进行密码修改(推送,登陆后,使用功能时)2各关键功能调用账号标签数据,过滤用户及提升不同难度挑战。。。2015/11/27/11/28--密码1用户密码较弱,123456,88888等2用户帐号密码各站一样,其他网站密码泄漏3访问钓鱼网站输入帐号密码4用户中木马帐号密码被窃取。。。。2015/11/29泄漏影响1用户信息泄漏,舆论风险2用户帐号资金余额卡券盗用风险3账户欺诈风险(金融产品,快捷等)4账户诈骗风险(飞单,退款钓鱼等)。。。2015/11/210