设备指纹技术，这家企业有话要说_凤凰科技
设备指纹技术，这家企业有话要说
用微信扫描二维码分享至好友和朋友圈
随着移动互联网的时代全面来临，诈骗团伙已形成了年产值上千亿元的黑色产业链。同时，魔高一尺道高一丈，更多的反黑产前沿技术应运而生，获得互联网及移动端企业风控的青睐。其中呼声最高的当属设备指纹技术，几乎每
随着移动互联网的时代全面来临，诈骗团伙已形成了年产值上千亿元的黑色产业链。同时，魔高一尺道高一丈，更多的反黑产前沿技术应运而生，获得互联网及移动端企业风控的青睐。其中呼声最高的当属设备指纹技术，几乎每一家反欺诈企业都将其作为大数据风控的关键技术之一。
账户安全 传统的设备识别技术往往是主动获取终端用户设备乃至隐私信息，同时在跨App及跨网页时存在技术壁垒。因此在面对更隐性的移动黑产时往往有心无力。 在各方一筹莫展之时，&全栈被动式设备指纹&识别技术走入了我们的视野。它仅仅依靠分析每个移动设备发出的普通HTTP请求，就能从中提取出每个设备独特的&指纹&，设备实时识别准确率高于96%。 奇怪的是，网上关于这项技术的介绍却寥寥无几，几经周折，我们才终于找到了这项技术的开发者&Maxent，得以和创始人张克一起谈一谈他对于设备指纹技术的理解。 这家成立于2014年底的创业公司，创始人张克、联合创始人周辉是国内最早深度关注互联网移动设备识别与在线欺诈行为、研究并实现商业开发的专家团队。在商用系统程序化解决方案、数据挖掘、机器学习等领域分别有着二十多年的尖端技术应用和商业实战经验。 张克和周辉都是典型的技术男，他们理性踏实，睿智犀利。 在Maxent成立之初，张克和周辉就已经敏锐的意识到：传统的设备识别技术在应对移动互联网上发生的欺诈行为时有非常大的局限性。 他们一致认为急需研发一种新的设备识别方法，既可以做到精准的识别手机、平板、电脑、智能、智能等多种多样的移动设备，同时又不依赖在用户终端植入脚本的方式获取所需的信息。 张克和周辉带领着Maxent团队用数月时间夜以继日的开发、测试，新的设备识别方法已初具雏形，同时多家及互联网金融企业进行试用，肯定了全栈被动式设备指纹技术在精准识别以及设备关联上的准确、可靠、稳定。 Maxent也因此得到了微软的青睐，成功加入传说中&比哈佛还难进&的微软创投加速器。
微软创投加速器活动 然而，直到日微软创投加速器第七期名单公布之日前几天，团队内部竟然还没有为这项有巨大价值的核心技术取个好名字！ 无奈之下，张克和周辉花了一整个下午的时间坐在办公室里绞尽脑汁苦思冥想，笔记本上写满了被否定掉的名字。 终于，张克灵光一闪，不如就用&全栈&和&被动式&这两个词吧。 其中&全栈&指的是通过收集网络通讯7层协议全栈中所有可用的信息作为特征，以及物理时空（Temporal-Spatial）信息进行核心运算获得设备&指纹&以识别设备。 而&被动式&则指的是不主动从用户终端获取信息，无需在用户终端植入任何代码，因此可以做到100%保护用户隐私安全。 关于&全栈&和&被动式&哪个更能描述这项技术的本质，张克和周辉也纠结了许久才最终确定。 就这样，&全栈被动式设备指纹&识别技术的概念在上海徐家汇的一间办公室里诞生了。 日，微软创投加速器第七期名单公布日之前2天，Maxent通过官方微信对这一技术做出了详细介绍。
技术介绍 知名记者吴宁川也通过微软联系到了Maxent，并发表了相关专题报道&刷量刷单刷用户，这家创业公司想请移动「黑产」们住手&：
报道内容 在产品上线之初，一切顺利。 然而，当日均事件量从几千、几万飙升至几百万上千万，当客户从几十家飙升至数百家，就对系统的稳定性、实时性和可扩展性提出了更高的要求。 帮客户解决更多问题，为客户创造更多价值鞭策着Maxent团队度过了一个又一个无眠的深夜。 如今，Maxent已经可以做到高于96%的设备实时识别准确率，全栈被动式设备指纹识别技术已经成为Maxent猛犸反欺诈的核心底层技术之一，并已申请了国家专利。 如今，Maxent客户已遍布传统金融、互联网金融、游戏、电商等行业，增强企业大数据分析能力，深度挖掘数据价值。2016年初Maxent获得千万美元A轮融资。 梦想永远在远方，但同时也要踏实走好脚下的路，Maxent这只年轻、理性、睿智的团队，已扬帆起航。
[责任编辑：程贺 PT004]
责任编辑：程贺 PT004
用微信扫描二维码分享至好友和朋友圈
凤凰科技官方微信
播放数：122151
播放数：152013
播放数：139847
播放数：164301
48小时点击排行&人参与 | 时间：日 08:44
几年前，做App还是土豪和移动开发者的专利。移动开发者使用Java或者C++这类开发工具，将一行行代码变成可以被手指轻松触控的应用。土豪们花钱雇佣这些移动开发者，实现自己所想要的功能。制作一个手机App被普遍认为是难度很高的工作。但随着人们对App定制化的要求越来越高，云服务提供商的能力越来越强。国内外的SaaS企业纷纷推出了在线生成App的功能，不但功能强大、免费使用，而且步骤极其简单。甚至有厂商喊出了“无需编程知识，3分钟搞定APP”的口号。使用本文所述的在线自助App制作工具，您可以轻松完成工作，实现梦想。2013年在国内流行App快速创建服务，主要由以下两类组成。无负担完全自建App该类服务以国内的简网App工场为代表，他们的App生成步骤只需3步，分别是填写概括、上传素材、设定风格。如图所示。填写概括上传素材设定风格然后，你就可以下载已经生成完毕的App了。如图所示。App生成完毕这里需要向大家说明的是，简网生成的App运营是在简网的平台上。关于他们这个服务的具体介绍如下：可以免费三分钟制作一款个人或者媒体、论坛等以内容运营为主的APP。支持iOS和Android系统，创建后可立即下载到手机。你可以通过简网提供的后台，在自己的APP里原创内容;上发现的感兴趣文章、图片、视频，商品也可以通过“发布到应用”工具，一键轻松转到应用中去。此外，还自带社区功能，支持用户投稿。简单的说，就是一个可以免费制作APP的地儿。PC端网站转移动App该类服务以国内的SiteApp为代表，一看名字就知道这是为站长服务的。以前叫做“百度移动建站服务”。这类服务可以把你的网站飞快的转换成移动App，以方便你的用户在手机和平板电脑上访问你的内容而不用输入网址调用浏览器。他们的App生成只需4步，分别是添加站点、定制效果、验证权限、全局设置。如图所示。添加站点定制效果权限验证高级设置安装成功最近，百度又通过在Site App里加入了广告变现功能。只要在后台生成一个移动版的广告代码，即可嵌入App赚取广告费。让一些想要赚外快的站长眼前一亮。如图所示。先在百度联盟后台生成移动网页广告代码填入百度联盟ID赚广告费百度App广告在我手机上的呈现形式自助App制作工具与其他开发方式在建站上的对比Wap建站：通过wap网页来输出内容，吧这种技术优点是消耗流量少，缺点就是没有美观的UI以及更好的互动，现在已逐渐过时。HTML5技术：利用HTML5和自适应技术，使网站适合在移动设备上浏览。但现阶段HTML5技术不是中小站长们能驾驭的,技术门槛较高。移动App：开发周期长，同样也需要专业技术人员进行开发，维护费用高。在线自助：和上面的几种方式相比几乎不需开发技术，开发成本也可忽略不计，更加灵活、更轻量化和跨平台。总结：通过上述几种常用的网站手机端生成方式，我们可以看出在线自助App制作工具在技术门槛、开发周期、开发及维护成本、美观度、易用性及通用性上都有得天独厚的优势，是站长实现网站移动化的最佳工具。给大家做个表可以看得更清楚些：移动建站的几种方式对比技术门槛开发周期维护成本美观度易用性通用性不足Wap建站低短低低打开速度快通用性较高上一代技术，淘汰中HTML5高长高个性可定制易用性较高社交类、资讯新闻、搜索类等工具型网站新技术，门槛高移动App高长高个性可定制作为单独的产品需安装及不同平台需适配推广难在线自助App工具无半小时无自选模板经web端的优化打开速度高，可搜索适合个人站、企业站、新闻类网站对个别Flash为主的网站不适用另外，由于百度SiteApp背靠着搜索引擎和百度联盟等优势资源，让站长们在流量和变现上有着意想不到的收获。通过市场上的公开数据以女性时尚资讯类网站七丽女性网为例，在使用了SiteApp一个月后，七丽女性网PC流量和移动流量的对比，由最初的15：1上升到10：1，移动流量上涨了33%，同时整站流量也有大幅提升。而太平洋游戏网则通过添加百度移动网盟推广物料使移动变现能力提升了300%，京华时报、中国新闻周刊等重量级媒体也在不断加入SiteApp的使用者队伍。随着不断更新改进及模板的添加，百度SiteApp将成为众多站长迅速走向移动端的重要途径，站长们将节约大量的宝贵时间去思考运营和赚钱的问题，而不是被技术所限制、被成本所牵绊。相关阅读：顶: 10踩: 0
1楼&& 23:45:49 我想做一个共享汽车的app,想请各位老师指导一下顶: <ins data-digg="踩: <ins data-digg="
2楼&& 09:13:20 4年前了，现在还行得通吗顶: <ins data-digg="踩: <ins data-digg="
3楼&& 14:40:29 也弄一个来试试玩玩顶: <ins data-digg="踩: <ins data-digg="
4楼&& 09:59:19 免费的APP只能个人使用，企业的安全性是不得不顾及的顶: <ins data-digg="踩: <ins data-digg="
5楼&& 23:13:24 每天只能靠流量赚100多块钱？？顶: <ins data-digg="踩: <ins data-digg="
6楼&& 17:05:00 是的，我也在用这个顶: <ins data-digg="踩: <ins data-digg="
7楼&& 17:04:38 哈哈，我也用了这个，坐等流量翻番顶: <ins data-digg="踩: <ins data-digg="
8楼&& 20:14:46 免费的是最贵的，还是尽量自己学点知识自己来吧。顶: <ins data-digg="踩: <ins data-digg="
8楼&& 17:05:00 是的，我也在用这个顶: <ins data-digg="踩: <ins data-digg="
9楼&& 12:28:27 百度siteapp，审核成功后，打开网址是一段乱码，怎么搞，过来求教啊顶: <ins data-digg="踩: <ins data-digg="
10楼&& 22:59:44 看看我这个弄得怎么样顶: <ins data-digg="踩: <ins data-digg="
11楼&& 14:56:16 很喜欢这类文章顶: <ins data-digg="踩: <ins data-digg="
12楼&& 11:07:19 楼主写的很好。关于在线自助生成app，应用之星网站也可以，而且是完全免费。顶: <ins data-digg="踩: <ins data-digg="
13楼&& 10:29:35
感觉灰常不错哦 顶: <ins data-digg="踩: <ins data-digg="
14楼&& 23:09:19 忍不住吐槽！！虽然这问题很白痴，但是我还是要问！ 从pc版转到APP后使用期限有木有？ 如果不绑定手机版移动域名，对管理有木有影响？如果要使用mobl,域名的选择有木有注意事项？ 求楼主关注！！3Q顶: <ins data-digg="踩: <ins data-digg="
15楼&& 10:09:06
App 做的人好多，手机一搜“满满的” 顶: <ins data-digg="踩: <ins data-digg="
16楼&& 21:17:00 看起来挺不错的顶: <ins data-digg="踩: <ins data-digg="
17楼&& 09:38:33 博主你好，请问为何在手机上搜索你的博客，打开后显示的首页链接是http://lusongsong.com/default_4.html，也就是说跑到第四页去了顶: <ins data-digg="踩: <ins data-digg="
18楼&& 19:04:43 原来如此简单啊,我有会也去搞一个!!!!顶: <ins data-digg="踩: <ins data-digg="
19楼&& 12:01:43
先说个题外话，博主用的是小米3手机，正文前一阵子自己在网上也了解了一些有关我APP营销方面的内容，先抛开一切成本不说，这种营销手段对于顾客的粘性是非常的强大，特别是互动类的，像在一些大型的门户或者企业、商场类的网站上，可以有效的增加用户在网页上逗留的时间！顶: <ins data-digg="踩: <ins data-digg="
20楼&& 11:33:29 投稿邮箱是reed@vip.qq.com顶: <ins data-digg="踩: <ins data-digg="
21楼&& 11:33:20 所以你一直落后呢顶: <ins data-digg="踩: <ins data-digg="
22楼&& 11:32:56 不是吧，我用生成的APP就没有内置广告顶: <ins data-digg="踩: <ins data-digg="
23楼&& 19:44:40 APP就是内置广告太多。还是定制的好，就是开发成本大。顶: <ins data-digg="踩: <ins data-digg="
23楼&& 11:32:56 不是吧，我用生成的APP就没有内置广告顶: <ins data-digg="踩: <ins data-digg="
24楼&& 10:35:27 我用过百度的那个APP工具，实在是没本事研究出来到底怎么用顶: <ins data-digg="踩: <ins data-digg="
25楼&& 11:29:45 以后每个网站的APP只能一个样了。这是定制的最大问题。顶: <ins data-digg="踩: <ins data-digg="
26楼&& 11:28:32 感觉灰常不错哦顶: <ins data-digg="踩: <ins data-digg="
27楼&& 14:25:07 松松以前就介绍过百度的SiteApp，我的站就用SitemApp顶: <ins data-digg="踩: <ins data-digg="
28楼&& 12:41:47 有意思，受教了顶: <ins data-digg="踩: <ins data-digg="
29楼&& 11:39:32 有名气有流量的大站才能发挥APP的作用，小站做了也没多大意思！顶: <ins data-digg="踩: <ins data-digg="
29楼&& 11:33:20 所以你一直落后呢顶: <ins data-digg="踩: <ins data-digg="
30楼&& 11:31:08 刚刚就去做了个，哇哈哈不知道能不能增加流量呢顶: <ins data-digg="踩: <ins data-digg="
31楼&& 09:00:59 不错不错顶: <ins data-digg="踩: <ins data-digg="
32楼&& 16:42:00 不错，学习了，谢谢分享顶: <ins data-digg="踩: <ins data-digg="
33楼&& 11:02:59 非常不错，可以尝试顶: <ins data-digg="踩: <ins data-digg="
34楼&& 09:51:10 问一下，卢松松博客接受站长投稿吗？如果接受，如何投稿呢？谢谢回答！！顶: <ins data-digg="踩: <ins data-digg="
34楼&& 11:33:29 投稿邮箱是reed@vip.qq.com顶: <ins data-digg="踩: <ins data-digg="
35楼&& 07:51:28 我们开发的APP也不错啊顶: <ins data-digg="踩: <ins data-digg="
36楼&& 00:15:23 受教了，不过老是学不精，唉顶: <ins data-digg="踩: <ins data-digg="
37楼&& 23:40:47 支持一下APP移动端顶: <ins data-digg="踩: <ins data-digg="
38楼&& 23:40:12 APP是个好东东啊顶: <ins data-digg="踩: <ins data-digg="
39楼&& 23:22:53 你这篇文章写的相当有吸引力哦。。我越来越喜欢你的博客了顶: <ins data-digg="踩: <ins data-digg="
40楼&& 22:25:19 哈哈，牛B顶: <ins data-digg="踩: <ins data-digg="
41楼&& 22:16:19 百度的siteapp还凑合吧，我在用呢顶: <ins data-digg="踩: <ins data-digg="
42楼&& 20:01:46 这两个工具阶段性的试了，目前其实都不太好用。不过将就着也可以。顶: <ins data-digg="踩: <ins data-digg="
42楼&& 22:16:19 百度的siteapp还凑合吧，我在用呢顶: <ins data-digg="踩: <ins data-digg="
43楼&& 18:23:35 小企业适合吗？顶: <ins data-digg="踩: <ins data-digg="
44楼&& 16:51:15 啊，学习了顶: <ins data-digg="踩: <ins data-digg="
45楼&& 16:48:18 App 做的人好多，手机一搜“满满的”顶: <ins data-digg="踩: <ins data-digg="
46楼&& 16:42:57 不懂代码，不会技术还真就不行事。顶: <ins data-digg="踩: <ins data-digg="
47楼&& 16:05:29 无觅 也可以生成app 百度的在用！不过没用 微软手机系统版的！悲剧！顶: <ins data-digg="踩: <ins data-digg="
48楼&& 16:04:21 app制作现在是越来越简单了。顶: <ins data-digg="踩: <ins data-digg="
49楼&& 15:22:05 用过，感觉适合个人站长顶: <ins data-digg="踩: <ins data-digg="
50楼&& 15:16:50 百度的SiteApp确实不错。尝试了一下，正在审核。顶: <ins data-digg="踩: <ins data-digg="
51楼&& 14:47:18 看后心动，也去弄一个自己的APP去！顶: <ins data-digg="踩: <ins data-digg="
52楼&& 14:24:52 我的网站也要打造APP，这是未来网站的趋势了，用百度的SITEAPP感觉很不错顶: <ins data-digg="踩: <ins data-digg="
53楼&& 14:05:19 看后心动，也去弄一个自己的APP去！顶: <ins data-digg="踩: <ins data-digg="
54楼&& 13:39:14 截图是真的，不过是百度出错了，开玩笑而已。还可以用谷歌浏览器的开发者工具，更改elements，想要多少收入都可以。顶: <ins data-digg="踩: <ins data-digg="
54楼&& 23:22:53 你这篇文章写的相当有吸引力哦。。我越来越喜欢你的博客了顶: <ins data-digg="踩: <ins data-digg="
55楼&& 13:12:50 建议像类似技术层面的文章，最好再详细一些顶: <ins data-digg="踩: <ins data-digg="
56楼&& 12:37:06 正在考虑这个问题，学习好了也去做做。顶: <ins data-digg="踩: <ins data-digg="
57楼&& 12:30:46 用这些制作APP真的简单多顶: <ins data-digg="踩: <ins data-digg="
58楼&& 12:11:48 还是比较喜欢用html5开发!顶: <ins data-digg="踩: <ins data-digg="
59楼&& 11:43:48 APP越来越火啦顶: <ins data-digg="踩: <ins data-digg="
60楼&& 11:29:21 什么时候我的博客也能像您的一样火顶: <ins data-digg="踩: <ins data-digg="
61楼&& 11:27:11 现在做app的很多，只是一个选择的问题顶: <ins data-digg="踩: <ins data-digg="
62楼&& 10:55:51 现在APP制作确实简单，好多这样的软件。顶: <ins data-digg="踩: <ins data-digg="
63楼&& 10:28:28 APP不太好推广啊！顶: <ins data-digg="踩: <ins data-digg="
64楼&& 10:20:58 现在网站没什么流量，做APP有用吗？顶: <ins data-digg="踩: <ins data-digg="
65楼&& 10:19:12 我去你博客看了，你说的有点夸张啊，一个月36W顶: <ins data-digg="踩: <ins data-digg="
65楼&& 13:39:14 截图是真的，不过是百度出错了，开玩笑而已。还可以用谷歌浏览器的开发者工具，更改elements，想要多少收入都可以。顶: <ins data-digg="踩: <ins data-digg="
65楼&& 23:22:53 你这篇文章写的相当有吸引力哦。。我越来越喜欢你的博客了顶: <ins data-digg="踩: <ins data-digg="
66楼&& 10:17:48 有自知自明顶: <ins data-digg="踩: <ins data-digg="
67楼&& 10:17:30 这句话是对的顶: <ins data-digg="踩: <ins data-digg="
68楼&& 10:09:36 现在的APP制作就跟z-blog样可以模块化，但是个性化的东西还是需要设计的顶: <ins data-digg="踩: <ins data-digg="
69楼&& 09:47:14 网站出名后才有做app的必要，就像我现在的博客，做了也白搭。顶: <ins data-digg="踩: <ins data-digg="
69楼&& 10:19:12 我去你博客看了，你说的有点夸张啊，一个月36W顶: <ins data-digg="踩: <ins data-digg="
69楼&& 13:39:14 截图是真的，不过是百度出错了，开玩笑而已。还可以用谷歌浏览器的开发者工具，更改elements，想要多少收入都可以。顶: <ins data-digg="踩: <ins data-digg="
69楼&& 23:22:53 你这篇文章写的相当有吸引力哦。。我越来越喜欢你的博客了顶: <ins data-digg="踩: <ins data-digg="
69楼&& 10:17:48 有自知自明顶: <ins data-digg="踩: <ins data-digg="
70楼&& 09:34:49 这个很实用啊，马上去试试顶: <ins data-digg="踩: <ins data-digg="
71楼&& 09:33:47 这个真的是很不错，很实用！顶: <ins data-digg="踩: <ins data-digg="
72楼&& 09:18:24 这个很方便的。顶: <ins data-digg="踩: <ins data-digg="
73楼&& 09:17:37 site app 貌似不太稳定。顶: <ins data-digg="踩: <ins data-digg="
74楼&& 09:16:26 这个很实用啊，马上去试试顶: <ins data-digg="踩: <ins data-digg="
75楼&& 09:09:07 我坚信，百度SiteApp将成为众多站长迅速走向移动端的重要途径。顶: <ins data-digg="踩: <ins data-digg="
76楼&& 09:07:39 貌似现在APP都很火啊 但是我只想说APP并不适合每个行业的顶: <ins data-digg="踩: <ins data-digg="
76楼&& 10:17:30 这句话是对的顶: <ins data-digg="踩: <ins data-digg="
77楼&& 09:06:33 这个只有通过了百度联盟才行吧顶: <ins data-digg="踩: <ins data-digg="
78楼&& 09:02:24 Site App用了一段时间后，感觉手机端打开的效果还是不怎么好，就没再用了！顶: <ins data-digg="踩: <ins data-digg="
79楼&& 09:01:11 有时间也去生成一个APP玩一下顶: <ins data-digg="踩: <ins data-digg="
相关文章阅读更多：&&
(window.slotbydup=window.slotbydup || []).push({
id: '2398775',
container: s,
size: '300,250',
display: 'inlay-fix'当谈论设备指纹时，我们到底在说什么？
同盾科技有限公司
同盾反欺诈研究院
[ 亿欧导读 ]
设备指纹主要应用于智能风控，“好”的设备指纹具备以下特点：1.不侵犯用户隐私的；2.安全性和用户体验的平衡；3.保证稳定性、兼容性和性能；4.迎合技术发展；5.贴合业务场景、
【编者按】设备标识（指纹）是基于设备的多种存储或路由介质生成的不重复、唯一的设备标识，和现实世界里政府用身份证来标识公民情况类似，是互联网和移动互联网领域十分成熟的一项技术。一般应用于互联网广告、网站/APP统计分析、个性化推荐等，相关应用企业有谷歌（谷歌ID）、百度（BAIDUID）、友盟（UMID）、百分点（BFDID）等。
本文首发于同盾科技有限公司，作者同盾反欺诈研究院；经亿欧编辑，供行业人士参考。
“设备”和“指纹”作为独立名词存在时，其具有非常典型的硬件属性；一旦将他们结合起来变成“”，就完全变成了一个软件层面的概念。近年来随着智能风控技术日益强大，很多风控系统都逐渐尝试加入这个重要的功能模块。
2014年笔者刚加入同盾科技时即负责设备指纹1.0版本研发，随着产品的迭代升级以及无数次与客户现场的沟通，也逐渐积累了一些自己的思考。今天就让我们抛开具体的技术细节，从一个更高的视角来共同探讨设备指纹的发展。
设备指纹诞生于网络未知
在互联网发展初期，人们发现商业的边疆可以被极大的拓展，我们可以跟某个素不相识的人在一秒以内完成一笔真实交易。但是，更多的机会也带来了更多的风险。很多在人们看来理所当然的线下正规业务场景，一旦转换到线上，就会衍生出意想不到的风险。比如，从前一个卖家可以通过“察言观色”、“一手交钱一手交货”、“摄像头监控”等等方式很精准的去判定一个买家是不是欺诈者。这意味着对于“什么人”在“什么时候”用“什么方法”做了“什么事”这个亘古不变的业务链条，每个环节卖家都一清二楚。但如今在互联网上，所有的识别环节都被打破，实实在在的行为被打散为不同的单个请求，并且这些请求分布在许多复杂的业务模块中，线下积累的经验无法直接适配线上。于是人们发明了各种各样的方式试图重新去补全这个业务链条，而“设备指纹”就是当下用于判定业务主体是“什么人”的一种重要技术。
设备指纹的“前世今生”
早期，在一些对安全要求非常高的线上场景中，例如一些银行的网上银行，常常使用U盾这样的纯硬件技术去追踪业务主体，也就是上文所说的定位“什么人”。同时，因为业务往往都是发生在浏览器页面中，而浏览器是属于操作系统上层的应用程序，运行在其中的脚本代码受到沙盒的限制，所以用户也需要安装一个可以跳出浏览器沙盒直接跟操作系统对接的控件，来读取U盾里面的安全数据。
相对来讲，这很安全。不过随着互联网的发展，这种“控件”+“U盾”的结合方式已经越来越落伍。笔者总结了如下几点原因:
1、使用控件的用户体验非常差，需要冗长安装、更新流程，普通用户难以操作；
2、移动互联网已成为绝对主流，而iOS，Android等移动互联网入口都不支持控件；
3、不仅仅在移动端，某些控件在pc端适用范围都很小，很多只支持PC上的IE内核浏览器。同时Chrome和Firefox等份额较大的桌面浏览器也在逐步淘汰控件的使用；
4、基于控件的本地溢出漏洞层出不穷，用户很容易中木马或者被钓鱼，反而给系统的安全造成严重危害。
基于以上几点，纯依赖js的web设备指纹技术逐渐被越来越多的厂商使用。它具有”免安装”、”动态更新”、”用户无感知”、”兼容移动和桌面端所有操作系统浏览器”的优点。此外，由于js天然受到浏览器沙盒的限制，在某些安全性要求更高的场景，内嵌于各种app的SDK设备指纹技术也得到广泛的应用。
“好”的设备指纹是怎样的
很多人对设备指纹不了解，容易一开始便纠结在一些意义不大的机制和参数上。下面就让我们一起探讨下什么是“好”的设备指纹。
1.不侵犯用户隐私
这是所有设备指纹产品需要严格遵守的红线。侵犯用户隐私，基于用户敏感信息(比如用户浏览历史记录，用户输入的敏感数据等)研发的设备指纹产品，即使功能再强大，也毫无意义，这无需多言。
2.安全性和用户体验的平衡
好的设备指纹需要在安全性和用户体验之间找到最佳的平衡点;其实这个概念可以衍生到更广的层面，即“安全防护应该是在安全性和业务发展之间找到最佳平衡点”。
对于安全从业者来说，这是我们要牢记的第一准则——安全永远是为业务服务的。上文提到的淘汰“硬”设备指纹(U盾)而发展“软”设备指纹(js,SDK)就是对该理念的有力印证。虽然“软”设备指纹在某些情况下功能性和安全性稍差，但在用户体验上获得了极大的提升，再通过结合其他维度的综合风险识别，实践证明”软”设备指纹机制有效且风险可控。
3.保证稳定性、兼容性和性能
实验室创新并不等同于工厂技术，在实验室诞生的创新技术距离实际的工业化生产还有非常远的路要走。这在设备指纹领域也很明显，我们常常能看到不少”奇思妙想”的技术被炒作为可以用来做设备指纹，但考虑到兼容性和稳定性，实际上绝大多数都不能应用在线上环境中。这些往往只有真正开发设备指纹的技术人员才有深刻体会。
稳定性，兼容性，性能等等都需要重点考虑，复杂的客户端环境和多样的使用场景，一款好的设备指纹产品一定是久经考验的“战士”。以同盾的SDK举例，我们做了大量的线上线下测试(针对众多偏门机器或者山寨机的兼容性测试、运行的耗电情况统计、上亿装机量的线上运行、高性能服务端集群压测、极端情况的完备降级处理方案等等)来确保最后交付的产品质量。
4.迎合技术发展
无论是web技术还是移动端技术都在飞速发展，一些老旧的技术也在不断被淘汰，设备指纹是一种集合多种技术的集大成类产品，所以也一定要时时迭代，符合新技术发展的潮流。例如前几年HTML5技术刚兴起的时候，我们就对其中“websocket”、”canvas”、”cors”、”local storage”等进行了研究，挖掘了不少有价值可利用的技术。另一边，千疮百孔的flash已经在淘汰的边缘，绝大部分桌面端浏览器都已经默认不开启，我们也在最新的版本里给它判了“死缓”。
不仅仅是功能迭代要利用新的技术，设备指纹的应用场景和使用方式也要尽可能与技术发展一致。比如当下很多厂商都采用“混合式app开发”框架，我们就有针对性的研发了适配功能，将app中的h5与本地的sdk结合起来做综合的设备识别。
5.贴合业务场景
很多人都知道设备指纹有两个“著名”的评估标准:“稳定性”和“唯一性”。稳定性用来评估历史上出现过的设备依然能够被识别回来的能力。这就好像一个罪犯，不管怎么变装易容，依然能被警察找到。唯一性则从另一个角度，评估把一个设备识别成另一个设备出错概率。同样的比方，警察知道一个罪犯的特征是“175公分”、“短头发”，但是并不能把大街上所有具有这两个特征的人都当罪犯抓起来，因为这两个特征并不能唯一定位到一个人。换句话说，这两个特征的“熵”太少。但是如果再加上另一个特征——“左脸眼睛下面有一个3公分的横向刀疤”，这就非常明显了，通过这三个特征，警察有非常大的把握可以追踪到该罪犯。其中这个“刀疤”特征，就是一个不错的可以用来做设备指纹唯一性判定的参数。
实际使用过程当中，“稳定性”和“唯一性”也是不可兼得的，此外性价比也是一个关键因素(会有一些办法可以在保证一个特性的同时加强另一个特征，但是其中投入的开发和技术成本，厂商也要考虑是否能承受)。
那我们就又需要去找平衡点，怎么找到这个点呢?答案就是要贴合业务场景。直白点讲，就是厂商想怎么去用设备指纹。我们举两个典型案例:
案例一:广告营销
广告营销场景常常需要结合不同人群的兴趣爱好推送不同的广告，达到精准投放的目的。很多时候需要定位到一个用户的设备，然后画一个基于兴趣的设备画像。对于这个场景的设备指纹，其实可以放弃一部分的“唯一性”，去迎合“稳定性”。因为这个时候业务考虑更多的是人群总体覆盖度，而不用纠结在是不是每一个人每一台设备都定位精准了。所以有时候我们会发现在手机的app里浏览一个商品，过段时间电脑上就推荐了，这不是什么黑科技，有可能广告厂商用的仅仅是你的外网ip当作设备指纹。
为了更好的解释这一点，我常常举这么一个例子:营销场景的设备指纹就好像给1000个人去标记兴趣，其中有一个人错了没啥大问题，顶多推荐一个他不喜欢的广告;反欺诈则不同，如果1000个里面有一个标记错了，非常有可能那一个人就是一个欺诈者，或者把一个优质的客户给误杀了，这个影响就很大。换一个角度说，用营销的设备指纹去做反欺诈，效果非常难以保证。
刚刚提到了外网ip，我们可以简单扩展下思路，随着IPv6的发展，ip地址非常充裕，其实可以在一个人出生的时候就给他一个固定的ip用来上网，这样所有的网络行为都能做到精确追踪。不过这样可能也未必是什么好事。
案例二：可信设备体系
反欺诈领域有两种不同的世界观:一种是从一堆未知请求中寻找可能的欺诈;一种是允许已知的优质用户操作，其余未知的都需要经过短信验证或者更严格的身份二次确认。两种方式一种增强了对坏人的覆盖度，一种增强了已知好人的用户体验。高级的反欺诈系统往往混合使用这两种机制。所谓的可信设备体系就是第二种，基于已知的可信操作沉淀出可信的设备体系。
这种情况下使用的设备指纹应该更关注“唯一性”还是“稳定性”?
答案依然是“稳定性”，不过应该比案例一的营销场景更偏一些唯一性。可以这么理解，对于黑产来说，想要伪装成一台全新的设备很容易，大不了重装系统。但是想要伪装成一台已知的可信设备就很难了。随着维度的增加，难度也会呈指数级增长。打个比方，如果我们是根据”ip归属地城市”、”系统语言”、”wifi名称”三个维度交叉得到的可信设备，那么对于一个特定的可信账号，黑产很难模拟出一套相同的环境。
有人会问:为什么不完全偏向“唯一性”呢，这样似乎更安全?那是因为正常用户也会有一些潜在可能的环境变化，比如一个人在家里上网，可能用手机、台式机、或者笔记本电脑，而且常常在多个设备间切换，如果完全偏向“唯一性”，每一个参数的微小改动都需要用户重新进行全流程的二次验证，对于用户的体验会非常差;对厂商来讲，进行二次验证往往需要付出一些成本，比如发短信，当用户量大了之后这些成本的增加也很可观。
以上只是众多业务场景中典型的两种，最终怎么设定设备指纹平衡点，完全看业务需要。从商业化的产品角度来看，怎么更好的解决这个问题呢?
我们抛出一个答案——灵活可配置化。同盾科技同时提供了多个id，每个id分别有不同的稳定性和唯一性偏好，客户可以根据自己的业务场景，灵活选择。
上文所说的只是贴合业务场景的一个层面:“稳定性”和“唯一性”。其实作为“业务”风控产品，方方面面都要努力做到这一点。
6.设备异常环境识别
很多人误解，设备指纹只能做设备的唯一标识，也就是“设备ID”的追踪。但其实设备指纹能做的远不止这些，甚至可以说设备ID的功能只占其全部功能的三成左右。上文我们举的两个案例:可信设备和广告营销，可以说这并不算反欺诈的典型业务。当下国内最典型的是“账户”和”营销”这些场景，也是黑产获利最多的场景。这些场景里，黑产往往可以通过伪造新设备或者伪造某些系统底层参数(比如地理位置，imei号等等)的方式来绕过业务的限制。上层设备指纹获取的所有参数都是伪造的，基于这些伪造的数据计算得到的设备ID就毫无意义了。就像一个美丽的空中楼阁，没有了深入地下的坚实基础。而夯实基础关键在于”系统环境异常的识别”。对于常见的黑产改机框架、改机软件、伪装软件等，设备指纹都一定要做到针对性的识别。只有确定当前的系统环境没有异常，设备ID才是可信、可用的。
以同盾的设备指纹举例，目前我们几乎能识别所有的Android和iOS底层改机和伪造行为。此外通过对常见的黑产软件有针对性的监控和逆向研究，结合服务端的数据分析和建模，可以给设备打上30多种异常标签，包括“调试行为、“模拟器虚拟机”等等。
对于”软”设备指纹，设备异常环境的识别可能比设备ID更重要。
7.强大的自我保护机制
设备指纹是一个从”端”到”云”的综合系统，这里面既有客户端的交叉验证、劫持检测，又有服务端的数据建模、联防联控,任何一点的疏忽都有可能被黑产攻破，所以需要对客户端的代码做很强健的加固保护。
这也是为了在跟黑产对抗的过程中保持信息不对称性的优势，一定程度上我们就是通过这种信息不对称性在攻防之间保持微弱的领先优势。所以对很多设备指纹系统来讲，”开源”也就意味着平庸和被绕过。双方都在绞尽脑汁拼个你死我活，突然就把家底送给别人看了，后果可想而知。
谈论设备指纹时这些尖锐的问题你该知道
这几年笔者现场接触了很多客户，也回答了很多设备指纹的问题，其中不乏一些专业到位、一针见血的问题。以下是笔者简单梳理出的一些问题与大家共分享。
问题一：怎么评估设备的“稳定性”和“唯一性”，有没有量化的标准？
答：这似乎是一个悖论:如果能有一个良好的判定设备指纹的参数，为什么不拿它当设备指纹呢？
不过仔细想想也未必没有解决方案。我们排除掉粗暴的大样本环境测试(样本再大相比线上也是九牛一毛)，剩下最好的办法便是基于一些业务数据和生活常识去做这个判断。保密原因我不会详细说，但是我们内部已经形成了一套行之有效的评估预警机制。
问题二：如果我刷机，重装系统，你还能找回这个设备吗？是不是设备指纹就没用了。
答：软件层面追踪硬件一定有它的局限性，某些小”trick”可以做到即使刷机和双清，仍然可以还原。但是如果真的是彻底的底层变更，甚至是修改硬件，比如换块硬盘，那光靠设备指纹一定是不够的，需要完整的风控系统。设备指纹不是银弹，我们做的也不是百分百绝对防御，提升黑产作案成本是关键。
问题三：可不可以这样用你们的设备指纹，我自己获取一些你们要的参数，然后传给你，你们给我们返回一个设备ID？
答：这种方式没有太大意义。上文笔者提到，设备指纹是一个从”端”到”云”的系统，这种单纯使用”云”不使用”端”的方式，很有可能导致服务端接收的数据完全是黑产伪造的。我们常常说”数据决定了模型的上限”，很多客户更关注服务端模型，但数据的不可靠让模型的效果非常差甚至为负。
问题四：能不能把设备指纹开源给我们，我们担心你们做一些不安全的事情？
答：上文我们也提到，设备指纹的开源意味着设备指纹的死亡。对于一个商业产品来说，给一个客户的开源意味着给所有客户的开源，同样意味着给黑产的开源。安全类产品的核心代码一定是不开源，否则对黑产来讲就是照着说明书攻击了。
安全上的担心，可以理解。但是换个角度，互联网的发展其实就是基于供应链各个环节互相的信任。我们从来不担心浏览器窃取用户隐私，不担心微信支付宝窃取用户隐私，即使他们大多数代码也是不开源的。对同盾来讲，作为坚持第三方中立的风控领域领头羊，我们非常感谢6000多家客户给予的信任和支持。
问题五：为什么要使用三方的产品，而不是自己进行技术研发？
答：难度非常大，成本非常高，投入非常多，需要谨慎考虑。专业的事情还是交给专业的人做。
各工作岗位将被AI取代的概率
选择岗位，查看结果
制图员和摄影师
建筑造价师
计算机硬件工程师
石油工程师
采矿和地质工程师（包含安全）
电气工程师
核能工程师
景观设计师
生物医学工程师
土木工程师
航空航天工程师
化学工程师
机械工程师
制图员和摄影师
快来扫描二维码，参与话题讨论吧！
获取验证码
新用户登录后自动创建账号
登录表示你已阅读并同意
账号为用户名/邮箱的用户 选择人工找回
关联已有账户
新用户或忘记密码请选择，快捷绑定
账号为用户名/邮箱的用户 选择人工找回
获取验证码
创建关联新账户
发送验证码
获取验证码
未完成注册的用户需设置密码
如果你遇到下面的问题
我在注册/找回密码的过程中无法收到手机短信消
我先前用E-mail注册过亿欧网但是现在没有办法通过它登录，我想找回账号
其他问题导致我无法成功的登录/注册
账号密码登录
关联已有账户
曾经使用手机注册过亿欧网账户的用户
创建并关联新账户
曾用微信登录亿欧网但没有用手机注册过亿欧的用户
没有注册过亿欧网的新用户
先前使用邮箱注册亿欧网的老用户，请点击这里进入特别通道
扫描二维码，下载亿欧客户端
Android & iOS
亿欧公众号
小程序-亿欧plus}