纠结账号安全?XPS助力你的无线账号安全

随着互联网日益庞大，账号密码成为用户唯一的遮羞布，随着CSDN事件发生，这块遮羞布也变得透明，其实CSDN账号泄露仅仅是一个表现，账号安全早已经存在，黑客们手上多多少少都有一批账号，不论是攻击所获还是黑客之间分享。

再随着智能手机的发展，APP下载量的提高，互联网业务也在移动网络间壮大，但账号安全问题依然存在。

二次验证成为直接解决方案

一线安全的失守使互联网公司不得不建立第二道防线，这道防线拥有比密码更强、更安全的、更严谨的校验手段，如采用OTP、密保卡、密保问题、证书等等。于是各大互联网纷纷推出了二次验证服务，如腾讯、GOOGLE、淘宝等等，但这也同时带来了二个问题：

用户体验问题：凡是安全校验产品往往都存在用户体验问题，需要用户主动或被动的提供校验凭据才能信任用户。如果提供手段需要用户操作那无疑加大了用户操作负担，从而导致用户体验下降。

无线端支持问题：无线操作系统的不一致性对某些安全产品无法支持，或操作习惯不一致导致操作复杂(比如校验短信发送在手机，而自己需要登录手机应用，则必须先推出应用去看手机短信，再回过头来完成校验)

这些问题使二次验证在无线端无从下手。

隐形的校验

安全产品分为几个层次，即用户可知的、用户拥有的和用户自身的。用户可知的就是密码、密保问题等、用户拥有类似证书、OTP产品，而用户自身的便是生物特征等。安全级别也随层次增高而加强。

但实际上还存在一个可利用的环节，利用社会工程学可以明确，现在互联网用户存在习惯，而习惯带来的将会是行为规则。而这些规则完全可以利用起来，变成小伤用户体验的校验方式。

例如：用户时常登录互联网的IP，当发现用户登录IP时常为此IP，基本上可以认为没有异常，但突然某次IP不一致，视为威胁存在，然后再采用强校验或对用户身份进行识别来保证用户账号的安全性。

这样的校验方式的好处就是对于用户来说是透明的，而且有利于互联网公司对用户习惯行为进行一个预知，也有利于业务拓展。但这样的校验也存在缺陷，用户行为不可知(比如上例中IP作为校验凭据，但用户很有可能旅游，导致IP确实有变动)所以行为规则作为校验必须有补充，即二次验证还是需要存在，同时必须加强行为规则的校验凭据的强度和灵活度(不采用IP，采用MAC或键盘输入频率等等)

什么是XPS

xps是一种混合性定位服务，它拥有比GPS更精准的功能。其原理是及其能定位的条件与一身来做到精准判断手机位置，比如IP、WI-FI、基站信息等。这样的服务拥有多个组成成分，那么意味着是多样的校验凭据，从安全角度理解，多粒度的校验是较安全的，那么XPS就是满足者。

为什么要XPS，GPS或IP不能做到吗?其实问题很简单，如果了解过移动通信的童鞋就很明白，流量型网络出口IP可能是一个，Wi-FI用的是网关IP，在国内宽带IP没有规范型(运营商可能将宽带业务作为专线铺盖，而没有一个标准维护的IP地理位置库)，而天然的手机终端设备信息正在被弱化 (IOS5开始不提供唯一标示等)

不是新技术但是有条件：

XPS并不是什么新技术，而是集合了各种已有技术互补缺陷而维稳。简单的写些获取信息代码：

Androidget Gps

Androidget Cells

用的是Rexsee的基站定位(Rexsee Cell Location对象)。示例代码如下，其中cid和lac为经纬度。

如何使用XPS

类似GPS基站信息，都需要我们去维护这个库，基站信息一把都把控在运营商手中作为盈利模式，所以维护基站信息是需要成本的，民间确实有些老库还能使用但不能所100%精准，但无妨因为XPS不仅仅依靠基站信息。而是结合了GPS+WPS+IP+基站等多个信息来判断用户手机位置，如果发现其中某些数据不对，可以降低其安全系数，如果安全系数非常低，就可以对这次校验请求进行进一步的确认，如弹出二次验证进行校验。

未经允许不得转载：DOIT » 纠结账号安全?XPS助力你的无线账号安全