简介

在数字化时代，账号安全已成为个人和企业不可忽视的重要议题。无论是社交媒体、电子邮件、银行账户还是其他在线服务，账号安全直接关系到用户的隐私、财产安全以及企业的运营和声誉。本文汇总了通用的一些账号安全策略，供参考。

视角

从应用安全和业务风控两个角度，来看账号安全。

应用安全的视角，由安全测试或安全审计人员，根据发现的漏洞或风险，需要给业务侧提供一些防护建议，供业务参考。

业务风控的视角，主要通过对用户账号、行为、关系等指标计算分析，实时监控用户异常行为，提供给业务侧一些风险决策结果，供业务侧调用、判断和处理。业务风控会嵌入到业务流程中，进行实时干预，会对业务产生影响和降低用户体验，所以需要有不同等级的风控策略进行差异化干预，如高风险能实时拦截，中风险延迟操作，低风险提醒等。

下面综合两个视角，来看账号安全整体策略，具体结合一些场景来描述：

风险场景一：注册场景

账号注册过程是用户与平台建立联系的第一步，也是安全风险较高的环节。以下是一些常见的账号注册时的风险：

风险描述：

1、虚假账号注册：恶意用户可能会注册大量虚假账号，用于垃圾信息发送、欺诈活动或攻击平台。

2、弱密码：用户可能选择简单易猜的密码，导致账号容易被破解。

3、账户劫持：恶意用户可能通过钓鱼攻击、中间人攻击等方式获取用户账号信息。

4、自动化攻击：恶意用户可能使用自动化工具进行批量注册，进行DDoS攻击或其他恶意活动。

5、重复注册：用户可能多次注册相同的账号，导致系统资源浪费。

安全防护措施：

1）验证注册使用的邮箱或手机号的有效性。

• 注册时给手机或邮箱发送验证码，输入正确的验证码才能完成注册（注：验证码不能在接口层显示）
• 同时检查邮箱或手机号是否已注册，避免重复注册。
• 增加人机校验（如图形验证码、滑块验证码等)。

2）数据包防重放机制：在数据包中添加token值，当数据包二次提交时提示数据包失效。

3）速率限制：限制同一IP地址或设备的请求频率，防止DDOS或其他恶意攻击。

业务风控措施：

1）风险画像

• 识别邮箱或手机号风险，是否为空号、黑号、小号等；
• 识别IP地址风险，是否代理IP、恶意攻击IP、薅羊毛IP等；
• 识别设备风险，是否虚拟设备等。

2）设置不同等级的风控策略（可独立、可组合），进行实时监控并决策，如：

• 异常频次

     a)同账号操作频次异常：x时间内，同设备/同账号/手机号操作频次异常；

     b)同IP操作频次异常：x时间内，同IP地址操作频次异常。

• 异常关联

    a)设备关联账号：x时间内，同设备关联账号数量异常；

    b)账号关联设备：x时间内，同账号关联设备数量异常。     

• 设备切换IP

   a)x时间内，同设备切换IP地址频次异常；

   b)x时间内，同设备切换IP归属省份（或市、区）频次异常。

• 账号切换IP

  a)x时间内，同账号切换IP地址频次异常；

  b)x时间内，同账号切换IP归属省份