认识达内从这里开始

我们都知道，每个人都有自己的身份证编号来代表自己的一个个体，而在互联网上，不同的设备又是如何来确定自己的身份的呢？

今天，我们就一起来了解和学习一下，在互联网设备的生产过程中，不同的设备之间的身份定位都是如何确定的。下面我们就开始今天的主要内容吧。

在确定不同设备身份之前，我们先给大家简单介绍一个概念，就是关于设备指纹的说法。

设备指纹是一个从”端”到”云”的综合系统，这里面既有客户端的交叉验证、劫持检测，又有服务端的数据建模、联防联控,任何一点的疏忽都有可能被黑产攻破，所以需要对客户端的代码做很强健的加固保护。

这也是为了在跟黑产对抗的过程中保持信息不对称性的优势，一定程度上我们就是通过这种信息不对称性在攻防之间保持微弱的领先优势。所以对很多设备指纹系统来讲，”开源”也就意味着平庸和被绕过。双方都在绞尽脑汁拼个你死我活，突然就把家底送给别人看了，后果可想而知。

问题一：怎么评估设备的“稳定性”和“唯一性”，有没有量化的标准?

答：这似乎是一个悖论:如果能有一个良好的判定设备指纹的参数，为什么不拿它当设备指纹呢?

不过仔细想想也未必没有解决方案。我们排除掉粗暴的大样本环境测试(样本再大相比线上也是九牛一毛)，剩下最好的办法便是基于一些业务数据和生活常识去做这个判断。保密原因我不会详细说，但是我们内部已经形成了一套行之有效的评估预警机制。

问题二：如果我刷机，重装系统，你还能找回这个设备吗?是不是设备指纹就没用了。

答：软件层面追踪硬件一定有它的局限性，某些小”trick”可以做到即使刷机和双清，仍然可以还原。但是如果真的是彻底的底层变更，甚至是修改硬件，比如换块硬盘，那光靠设备指纹一定是不够的，需要完整的风控系统。设备指纹不是银弹，我们做的也不是百分百绝对防御，提升黑产作案成本是关键。

问题三：可不可以这样用你们的设备指纹，我自己获取一些你们要的参数，然后传给你，你们给我们返回一个设备ID?

答：这种方式没有太大意义。上文笔者提到，设备指纹是一个从”端”到”云”的系统，这种单纯使用”云”不使用”端”的方式，很有可能导致服务端接收的数据完全是黑产伪造的。我们常常说”数据决定了模型的上限”，很多客户更关注服务端模型，但数据的不可靠让模型的效果非常差甚至为负。

问题四：能不能把设备指纹开源给我们，我们担心你们做一些不安全的事情?

答：上文我们也提到，设备指纹的开源意味着设备指纹的死亡。对于一个商业产品来说，给一个客户的开源意味着给所有客户的开源，同样意味着给黑产的开源。安全类产品的核心代码一定是不开源，否则对黑产来讲就是照着说明书攻击了。

安全上的担心，可以理解。但是换个角度，互联网的发展其实就是基于供应链各个环节互相的信任。我们从来不担心浏览器窃取用户隐私，不担心微信支付宝窃取用户隐私，即使他们大多数代码也是不开源的。对同盾来讲，作为坚持第三方中立的风控领域领头羊，我们非常感谢6000多家客户给予的信任和支持。

问题五：为什么要使用三方的产品，而不是自己进行技术研发?

答：难度非常大，成本非常高，投入非常多，需要谨慎考虑。专业的事情还是交给专业的人做。

作者：同盾反欺诈研究院

【免责声明】 本文转自网络，版权归原作者所有！（欢迎作者认领）