作為一線大廠的去哪兒， 在谷歌驗證碼方式下， 是如何在注冊環(huán)節(jié)做防御的呢？

注冊頁面：

1.1 注冊主要防御攻擊：機(jī)器批量注冊。

前端和風(fēng)控系統(tǒng)結(jié)合的方式。

去哪兒在保證安全的前提下，比較注重用戶體驗， 同樣是谷歌驗證碼方式， 去哪兒準(zhǔn)備了3 種難度的圖形驗證碼

同IP多次注冊限制策略
用戶中心將用戶注冊信息同步給風(fēng)控，風(fēng)控返回約定的編碼。根據(jù)不同的編碼，3W注冊頁升級對應(yīng)的方案。

1. 用戶注冊頁，默認(rèn)出現(xiàn)第一種驗證碼。（簡單驗證碼）
   
2. 同一IP在24小時內(nèi)嘗試注冊3次，出現(xiàn)第二種驗證碼（復(fù)雜驗證碼）
   
3. 同一IP在1小時內(nèi)注冊6次，出現(xiàn)第三種驗證碼（最高級別驗證碼）
   
4. 同一IP在24小時內(nèi)注冊9次，界面彈層提示用戶不允許繼續(xù)使用郵箱注冊，可通過手機(jī)注冊去哪兒網(wǎng)賬號。如下圖：
   
   彈層文案：我們檢測到您的IP注冊過于頻繁，為了您的賬號和操作安全，請您使用手機(jī)號注冊。
   用戶點擊我知道了或右上角X，彈層關(guān)閉，頁面默認(rèn)跳轉(zhuǎn)到手機(jī)號注冊頁面。隱藏郵箱注冊入口。
5. 同一IP在24小時內(nèi)注冊20次，將用戶IP鎖定2小時。彈層提示用戶：注冊過于頻繁，請2小時后再試。用戶點擊我知道了和右上角X，彈層關(guān)閉。該用戶在2小時內(nèi)不允許注冊。2小時后鎖定解除，可繼續(xù)注冊。

前端表單明文：

1.2 優(yōu)缺點分析：

用戶體驗分析：
大多數(shù)用戶，應(yīng)該會碰到第一種圖形驗證碼
但如果用戶在IP 集中的情況下， 比如移動網(wǎng)關(guān)IP ，可能一個IP 活躍的用戶數(shù)很多， 會出現(xiàn)如下問題
a 用戶普遍出現(xiàn)難以識別的第三種，
b 同ip注冊超過20次，則無法注冊， 造成真實客戶流失的情況。
安全性分析：
這3種圖形驗證碼，在《使用深度學(xué)習(xí)來破解 captcha 驗證碼》下，根本無法防御，形同虛設(shè)，
每個IP 可以攻擊 20，在更換IP的前提下 ， 就可能被黑客無限制次數(shù)的攻擊。

1.3 注冊安全評測結(jié)果

1 網(wǎng)站防護(hù)方式；
? 圖片驗證
? 規(guī)則限制 ： 同IP、同手機(jī)號發(fā)送數(shù)量限制

2 表單攻擊防御： ? 無
3 風(fēng)險等級分布： ? 相對安全
漏洞檢測結(jié)果
? 低
檢測結(jié)論
1、 圖片越復(fù)雜，用戶體驗越差
2、 誤攔率高
點評： 容易受黑客利用AI識別圖形驗證碼及更換IP進(jìn)行攻擊，損失一定短信費(fèi)用

2 寺庫的注冊防御機(jī)制及安全分析

寺庫的用戶注冊防御機(jī)制其實和去哪兒非常類似（據(jù)說寺庫的技術(shù)是從去哪兒過去的），只是同一個IP 剛開始，不會出現(xiàn)圖形驗證碼， 更好的用戶體驗，但同時也帶來隱患。
用戶注冊：

2.1 注冊主要防御攻擊：機(jī)器批量注冊。

2.2 優(yōu)缺點分析：

2.3 注冊安全評測結(jié)果

谷歌圖形驗證碼在AI 面前已經(jīng)形同虛設(shè)，所以谷歌宣布退出驗證碼服務(wù)， 那么當(dāng)所有的圖形驗證碼都被破解時
《騰訊防水墻滑動拼圖驗證碼》
《百度旋轉(zhuǎn)圖片驗證碼》
《網(wǎng)易易盾滑動拼圖驗證碼》
《頂象區(qū)域面積點選驗證碼》
《頂象滑動拼圖驗證碼》
《極驗滑動拼圖驗證碼》
《使用深度學(xué)習(xí)來破解 captcha 驗證碼》
《驗證碼終結(jié)者-基于CNN+BLSTM+CTC的訓(xùn)練部署套件》

有沒有更好的防護(hù)手段呢？
新新科技研發(fā)的下一代隱藏式驗證安全產(chǎn)品
選用新昕科技研發(fā)的企業(yè)短信防火墻，理由 ：
1 應(yīng)用AI立體防御技術(shù)，無需圖形驗證，徹底解決“安全”與“用戶體驗”的矛盾，互聯(lián)網(wǎng)產(chǎn)品專注用戶體驗，無需為安全讓步。
2 豐富可視化圖表，防御攔截數(shù)據(jù)盡收眼底，實時查看當(dāng)日數(shù)據(jù)詳情與近期風(fēng)險趨勢。
3 SAAS極速接入，本地部署運(yùn)行，毫秒級響應(yīng)。交易風(fēng)控引擎濃縮10M安裝包，極速采集基礎(chǔ)數(shù)據(jù)，匹配多維度風(fēng)險特征。避免“云模式”網(wǎng)絡(luò)延時問題。