11.3 用户注册

淘宝有专门的风控团队,垃圾注册一直是比较头疼的问题,目前像贴吧、论坛、微博以及大部分的娱乐应用都有一些评论和投票功能,通过这些功能可以传播广告或者刷排名,于是就出现了商业机会,一些人开始写自动化注册机去发广告,导致社区质量下降,大部分的网站都是需要登录才能使用这些功能的,而登录的前提是有账号,所以注册账号这块拦截掉注册机是最好的防御点。

机器注册已经被拦截得差不多,现在恶意注册的诈骗团伙已经以低价向学生提供兼职注册服务,由学生人工注册账号,填写验证码。对于这样的注册方式,就只有用大数据来分析注册账号的电脑、IP以及注册人行为去防控。在注册这方面,淘宝已经加入了滑动人机识别,并且效果非常不错,如图11-9所示。

图 11-9

对于用户注册,需要有以下几个安全设计思路:

1)设计验证码。

2)采集用户机器唯一识别码,拦截短时间内多次注册。

3)根据账号格式自学习识别垃圾账号。

4)防止SQL注入漏洞与XSS漏洞(常见)。