隨著互聯(lián)網(wǎng)日益龐大，賬號(hào)密碼成為用戶唯一的遮羞布，隨著CSDN事件發(fā)生，這塊遮羞布也變得透明，其實(shí)CSDN賬號(hào)泄露僅僅是一個(gè)表現(xiàn)，賬號(hào)安全早已經(jīng)存在，黑客們手上多多少少都有一批賬號(hào)，不論是攻擊所獲還是黑客之間分享。

再隨著智能手機(jī)的發(fā)展，APP下載量的提高，互聯(lián)網(wǎng)業(yè)務(wù)也在移動(dòng)網(wǎng)絡(luò)間壯大，但賬號(hào)安全問(wèn)題依然存在。

二次驗(yàn)證成為直接解決方案

一線安全的失守使互聯(lián)網(wǎng)公司不得不建立第二道防線，這道防線擁有比密碼更強(qiáng)、更安全的、更嚴(yán)謹(jǐn)?shù)男ｒ?yàn)手段，如采用OTP、密保卡、密保問(wèn)題、證書(shū)等等。于是各大互聯(lián)網(wǎng)紛紛推出了二次驗(yàn)證服務(wù)，如騰訊、GOOGLE、淘寶等等，但這也同時(shí)帶來(lái)了二個(gè)問(wèn)題：

用戶體驗(yàn)問(wèn)題：凡是安全校驗(yàn)產(chǎn)品往往都存在用戶體驗(yàn)問(wèn)題，需要用戶主動(dòng)或被動(dòng)的提供校驗(yàn)憑據(jù)才能信任用戶。如果提供手段需要用戶操作那無(wú)疑加大了用戶操作負(fù)擔(dān)，從而導(dǎo)致用戶體驗(yàn)下降。

無(wú)線端支持問(wèn)題：無(wú)線操作系統(tǒng)的不一致性對(duì)某些安全產(chǎn)品無(wú)法支持，或操作習(xí)慣不一致導(dǎo)致操作復(fù)雜(比如校驗(yàn)短信發(fā)送在手機(jī)，而自己需要登錄手機(jī)應(yīng)用，則必須先推出應(yīng)用去看手機(jī)短信，再回過(guò)頭來(lái)完成校驗(yàn))

這些問(wèn)題使二次驗(yàn)證在無(wú)線端無(wú)從下手。

隱形的校驗(yàn)

安全產(chǎn)品分為幾個(gè)層次，即用戶可知的、用戶擁有的和用戶自身的。用戶可知的就是密碼、密保問(wèn)題等、用戶擁有類似證書(shū)、OTP產(chǎn)品，而用戶自身的便是生物特征等。安全級(jí)別也隨層次增高而加強(qiáng)。

但實(shí)際上還存在一個(gè)可利用的環(huán)節(jié)，利用社會(huì)工程學(xué)可以明確，現(xiàn)在互聯(lián)網(wǎng)用戶存在習(xí)慣，而習(xí)慣帶來(lái)的將會(huì)是行為規(guī)則。而這些規(guī)則完全可以利用起來(lái)，變成小傷用戶體驗(yàn)的校驗(yàn)方式。

例如：用戶時(shí)常登錄互聯(lián)網(wǎng)的IP，當(dāng)發(fā)現(xiàn)用戶登錄IP時(shí)常為此IP，基本上可以認(rèn)為沒(méi)有異常，但突然某次IP不一致，視為威脅存在，然后再采用強(qiáng)校驗(yàn)或?qū)τ脩羯矸葸M(jìn)行識(shí)別來(lái)保證用戶賬號(hào)的安全性。

這樣的校驗(yàn)方式的好處就是對(duì)于用戶來(lái)說(shuō)是透明的，而且有利于互聯(lián)網(wǎng)公司對(duì)用戶習(xí)慣行為進(jìn)行一個(gè)預(yù)知，也有利于業(yè)務(wù)拓展。但這樣的校驗(yàn)也存在缺陷，用戶行為不可知(比如上例中IP作為校驗(yàn)憑據(jù)，但用戶很有可能旅游，導(dǎo)致IP確實(shí)有變動(dòng))所以行為規(guī)則作為校驗(yàn)必須有補(bǔ)充，即二次驗(yàn)證還是需要存在，同時(shí)必須加強(qiáng)行為規(guī)則的校驗(yàn)憑據(jù)的強(qiáng)度和靈活度(不采用IP，采用MAC或鍵盤輸入頻率等等)

什么是XPS

xps是一種混合性定位服務(wù)，它擁有比GPS更精準(zhǔn)的功能。其原理是及其能定位的條件與一身來(lái)做到精準(zhǔn)判斷手機(jī)位置，比如IP、WI-FI、基站信息等。這樣的服務(wù)擁有多個(gè)組成成分，那么意味著是多樣的校驗(yàn)憑據(jù)，從安全角度理解，多粒度的校驗(yàn)是較安全的，那么XPS就是滿足者。

為什么要XPS，GPS或IP不能做到嗎?其實(shí)問(wèn)題很簡(jiǎn)單，如果了解過(guò)移動(dòng)通信的童鞋就很明白，流量型網(wǎng)絡(luò)出口IP可能是一個(gè)，Wi-FI用的是網(wǎng)關(guān)IP，在國(guó)內(nèi)寬帶IP沒(méi)有規(guī)范型(運(yùn)營(yíng)商可能將寬帶業(yè)務(wù)作為專線鋪蓋，而沒(méi)有一個(gè)標(biāo)準(zhǔn)維護(hù)的IP地理位置庫(kù))，而天然的手機(jī)終端設(shè)備信息正在被弱化(IOS5開(kāi)始不提供唯一標(biāo)示等)

不是新技術(shù)但是有條件：

XPS并不是什么新技術(shù)，而是集合了各種已有技術(shù)互補(bǔ)缺陷而維穩(wěn)。簡(jiǎn)單的寫(xiě)些獲取信息代碼：

Androidget Gps

Androidget Cells

用的是Rexsee的基站定位(Rexsee Cell Location對(duì)象)。示例代碼如下，其中cid和lac為經(jīng)緯度。

如何使用XPS

類似GPS基站信息，都需要我們?nèi)ゾS護(hù)這個(gè)庫(kù)，基站信息一把都把控在運(yùn)營(yíng)商手中作為盈利模式，所以維護(hù)基站信息是需要成本的，民間確實(shí)有些老庫(kù)還能使用但不能所100%精準(zhǔn)，但無(wú)妨因?yàn)閄PS不僅僅依靠基站信息。而是結(jié)合了GPS+WPS+IP+基站等多個(gè)信息來(lái)判斷用戶手機(jī)位置，如果發(fā)現(xiàn)其中某些數(shù)據(jù)不對(duì)，可以降低其安全系數(shù)，如果安全系數(shù)非常低，就可以對(duì)這次校驗(yàn)請(qǐng)求進(jìn)行進(jìn)一步的確認(rèn)，如彈出二次驗(yàn)證進(jìn)行校驗(yàn)。