隨著互聯(lián)網(wǎng)日益龐大，賬號密碼成為用戶唯一的遮羞布，隨著CSDN事件發(fā)生，這塊遮羞布也變得透明，其實CSDN賬號泄露僅僅是一個表現(xiàn)，賬號安全早已經(jīng)存在，黑客們手上多多少少都有一批賬號，不論是攻擊所獲還是黑客之間分享。

再隨著智能手機的發(fā)展，APP下載量的提高，互聯(lián)網(wǎng)業(yè)務(wù)也在移動網(wǎng)絡(luò)間壯大，但賬號安全問題依然存在。

二次驗證成為直接解決方案

一線安全的失守使互聯(lián)網(wǎng)公司不得不建立第二道防線，這道防線擁有比密碼更強、更安全的、更嚴(yán)謹?shù)男ｒ炇侄?，如采用OTP、密?？?、密保問題、證書等等。于是各大互聯(lián)網(wǎng)紛紛推出了二次驗證服務(wù)，如騰訊、GOOGLE、淘寶等等，但這也同時帶來了二個問題：

用戶體驗問題：凡是安全校驗產(chǎn)品往往都存在用戶體驗問題，需要用戶主動或被動的提供校驗憑據(jù)才能信任用戶。如果提供手段需要用戶操作那無疑加大了用戶操作負擔(dān)，從而導(dǎo)致用戶體驗下降。

無線端支持問題：無線操作系統(tǒng)的不一致性對某些安全產(chǎn)品無法支持，或操作習(xí)慣不一致導(dǎo)致操作復(fù)雜(比如校驗短信發(fā)送在手機，而自己需要登錄手機應(yīng)用，則必須先推出應(yīng)用去看手機短信，再回過頭來完成校驗)

這些問題使二次驗證在無線端無從下手。

隱形的校驗

安全產(chǎn)品分為幾個層次，即用戶可知的、用戶擁有的和用戶自身的。用戶可知的就是密碼、密保問題等、用戶擁有類似證書、OTP產(chǎn)品，而用戶自身的便是生物特征等。安全級別也隨層次增高而加強。

但實際上還存在一個可利用的環(huán)節(jié)，利用社會工程學(xué)可以明確，現(xiàn)在互聯(lián)網(wǎng)用戶存在習(xí)慣，而習(xí)慣帶來的將會是行為規(guī)則。而這些規(guī)則完全可以利用起來，變成小傷用戶體驗的校驗方式。

例如：用戶時常登錄互聯(lián)網(wǎng)的IP，當(dāng)發(fā)現(xiàn)用戶登錄IP時常為此IP，基本上可以認為沒有異常，但突然某次IP不一致，視為威脅存在，然后再采用強校驗或?qū)τ脩羯矸葸M行識別來保證用戶賬號的安全性。

這樣的校驗方式的好處就是對于用戶來說是透明的，而且有利于互聯(lián)網(wǎng)公司對用戶習(xí)慣行為進行一個預(yù)知，也有利于業(yè)務(wù)拓展。但這樣的校驗也存在缺陷，用戶行為不可知(比如上例中IP作為校驗憑據(jù)，但用戶很有可能旅游，導(dǎo)致IP確實有變動)所以行為規(guī)則作為校驗必須有補充，即二次驗證還是需要存在，同時必須加強行為規(guī)則的校驗憑據(jù)的強度和靈活度(不采用IP，采用MAC或鍵盤輸入頻率等等)

什么是XPS

xps是一種混合性定位服務(wù)，它擁有比GPS更精準(zhǔn)的功能。其原理是及其能定位的條件與一身來做到精準(zhǔn)判斷手機位置，比如IP、WI-FI、基站信息等。這樣的服務(wù)擁有多個組成成分，那么意味著是多樣的校驗憑據(jù)，從安全角度理解，多粒度的校驗是較安全的，那么XPS就是滿足者。

為什么要XPS，GPS或IP不能做到嗎?其實問題很簡單，如果了解過移動通信的童鞋就很明白，流量型網(wǎng)絡(luò)出口IP可能是一個，Wi-FI用的是網(wǎng)關(guān)IP，在國內(nèi)寬帶IP沒有規(guī)范型(運營商可能將寬帶業(yè)務(wù)作為專線鋪蓋，而沒有一個標(biāo)準(zhǔn)維護的IP地理位置庫)，而天然的手機終端設(shè)備信息正在被弱化(IOS5開始不提供唯一標(biāo)示等)

不是新技術(shù)但是有條件：

XPS并不是什么新技術(shù)，而是集合了各種已有技術(shù)互補缺陷而維穩(wěn)。簡單的寫些獲取信息代碼：

Androidget Gps

Androidget Cells

用的是Rexsee的基站定位(Rexsee Cell Location對象)。示例代碼如下，其中cid和lac為經(jīng)緯度。

如何使用XPS

類似GPS基站信息，都需要我們?nèi)ゾS護這個庫，基站信息一把都把控在運營商手中作為盈利模式，所以維護基站信息是需要成本的，民間確實有些老庫還能使用但不能所100%精準(zhǔn)，但無妨因為XPS不僅僅依靠基站信息。而是結(jié)合了GPS+WPS+IP+基站等多個信息來判斷用戶手機位置，如果發(fā)現(xiàn)其中某些數(shù)據(jù)不對，可以降低其安全系數(shù)，如果安全系數(shù)非常低，就可以對這次校驗請求進行進一步的確認，如彈出二次驗證進行校驗。