Q&A特輯 | 看了這場直播，我找到了裝置指紋“從不說謊”的原因

除了身份證外，裝置指紋可能是唯一一個可以證明你是誰的方法。

 

究其原因，就在於裝置指紋的唯一性和穩定性。

 

8月 25 日下午 15 點，頂象技術總監杜威就裝置指紋的唯一性和穩定性的核心演算法展開分享。

 

 

 

直播過程中，我們也收到了一系列關於裝置指紋唯一性穩定性核心演算法的疑問，現將部分問答整理出來，供大家參考。感興趣的同學也可關注頂象公眾號或影片號回看直播重點。

 

Q1：App、小程式、H5對不同的平臺是否能生成一樣的裝置ID？

 

杜威：App、小程式、H5採集資訊來自各自平臺，H5主要來自瀏覽器 ，小程式來自App提供的API，這三者採集資訊差異很大，目前無法生成一樣的指紋。 但可以透過一些手段打通App和H5，比如App內嵌的H5，可以進行橋接。 

 

Q2：頂象裝置指紋安卓和iOS 的SDK體積大小是多少？整合之後的包體增量變化是多少？

 

杜威：一般來說，安卓 700K；iOS  300K；整合後對App大小的增量基本和SDK大小一致。

 

Q3：裝置指紋怎樣保證合規性，是否有采集使用者隱私資訊？

 

杜威：首先頂象指紋SDK具備國家權威機構出具的關於SDK是否允許採集隱私資訊的檢測報告。再者頂象裝置指紋多年來已成功應用於多個行業的App，在隱私合規上能夠滿足各行業各場景的要求。

 

Q4：最近有媒體報導稱銀行的App人臉識別可被繞過，請問下裝置指紋在人臉識別這塊能起到什麼作用？

 

杜威：這個要看攻擊者使用哪些手段，如果是對App進行逆向和篡改，裝置指紋是可以有效識別這一類風險的。

 

Q5：裝置恢復出廠設定後，對裝置指紋的影響有多大？

 

杜威：恢復出廠設定對指紋的穩定性挑戰是比較大的，目前透過一些最佳化可以保證在大部分機型上達到恢復出廠後指紋不變的效果。

 

Q6：如果App被人逆向二次打包後，裝置指紋是否能做一些識別？

 

杜威：可以的，指紋會獲取App的簽名、程式等資訊， 這些資訊可以用來判斷App是否有重打包。

 

Q7：現在已經有了一套指紋系統，如果用頂象的，裝置指紋能否和以前保持一致？

 

杜威：首先現在指紋的計算不是用硬體標識或者特徵的hash值來直接作為指紋，一般指紋本身是隨機生成的一個標識，各家的生成方式各不相同，所以標識這一點很難做到一致。但以前的裝置資料是可以透過資料分析和新指紋資料關聯到一起的。

 

Q8：怎麼解決裝置指紋唯一性的問題？現在合規原因，IMEI等資訊都不讓採集了，App重新安裝了，怎麼辦？

 

杜威：這個正如分享裡提到的，現在生成指紋不能只依賴幾個重要欄位，需要結合硬體，App，環境的各項資料構建裝置畫像。這樣確保解除安裝重灌等操作只會改變部分畫像的資料。

 

Q9：裝置指紋和指紋識別有什麼區別？

 

杜威：裝置指紋是裝置的唯一標識。指紋識別指識別終端裝置的一些風險。

 

Q10：碰撞檢測有點沒看懂，老師能再講講麼？另外，降級token 如何理解？

 

杜威：這是利用UUID的隨機性和唯一性，同一臺裝置UUID可以變化，但變化後，舊的UUID就不可能出現。如果出現就意味著出現碰撞。降級token指的是當前上報的網路出現異常，把本次上報的資料作為token。

 

Q11：降級token採集間隔是多久，如果能順利傳輸，是否馬上恢復正常指紋採集？

 

杜威：token是用業務呼叫API 驅動採集，一般是App在活躍期間採集一次。 正常傳輸的情況下， token可以實時查詢指紋資訊。

 

Q12：請問一下，降級token編碼的時候，如果把裝置資訊編碼進去的話，應該會導致token編碼後很長吧，這塊在應用使用過程中，會導致超長token問題麼？（比如超過url長度限制等），這種頂象是怎麼解決的啊？

 

杜威： token長度會比較長，一般這裡建議使用post請求。

 

最後，再給大家簡單介紹下頂象《業務安全大講堂》系列直播課，本系列彙集業內大咖組建豪華講師天團，剖析各類欺詐手段，詳解前沿安全技術，幫助企業應對業務安全新風險。

 

 

下期將由頂象產品經理張祖凱為大家帶來《保險代打卡對抗實戰》的主題課程，敬請期待！