随着互联网日益庞大，账号密码成为用户唯一的遮羞布，随着CSDN事件发生，这块遮羞布也变得透明，其实CSDN账号泄露仅仅是一个表现，账号安全早已经存在，黑客们手上多多少少都有一批账号，不论是攻击所获还是黑客之间分享。

　　再随着智能手机的发展，APP下载量的提高，互联网业务也在移动网络间壮大，但账号安全问题依然存在。

　　二次验证成为直接解决方案

　　一线安全的失守使互联网公司不得不建立第二道防线，这道防线拥有比密码更强、更安全的、更严谨的校验手段，如采用OTP、密保卡、密保问题、证书等等。于是各大互联网纷纷推出了二次验证服务，如腾讯、GOOGLE、淘宝等等，但这也同时带来了二个问题：

　　用户体验问题：凡是安全校验产品往往都存在用户体验问题，需要用户主动或被动的提供校验凭据才能信任用户。如果提供手段需要用户操作那无疑加大了用户操作负担，从而导致用户体验下降。

　　无线端支持问题：无线操作系统的不一致性对某些安全产品无法支持，或操作习惯不一致导致操作复杂(比如校验短信发送在手机，而自己需要登录手机应用，则必须先推出应用去看手机短信，再回过头来完成校验)

　　这些问题使二次验证在无线端无从下手。

　　隐形的校验

　　安全产品分为几个层次，即用户可知的、用户拥有的和用户自身的。用户可知的就是密码、密保问题等、用户拥有类似证书、OTP产品，而用户自身的便是生物特征等。安全级别也随层次增高而加强。

　　但实际上还存在一个可利用的环节，利用社会工程学可以明确，现在互联网用户存在习惯，而习惯带来的将会是行为规则。而这些规则完全可以利用起来，变成小伤用户体验的校验方式。

　　例如：用户时常登录互联网的IP，当发现用户登录IP时常为此IP，基本上可以认为没有异常，但突然某次IP不一致，视为威胁存在，然后再采用强校验或对用户身份进行识别来保证用户账号的安全性。

　　这样的校验方式的好处就是对于用户来说是透明的，而且有利于互联网公司对用户习惯行为进行一个预知，也有利于业务拓展。但这样的校验也存在缺陷，用户行为不可知(比如上例中IP作为校验凭据，但用户很有可能旅游，导致IP确实有变动)所以行为规则作为校验必须有补充，即二次验证还是需要存在，同时必须加强行为规则的校验凭据的强度和灵活度(不采用IP，采用MAC或键盘输入频率等等)

(责任编辑：)