設備指紋是什麼，在風控領域有哪些作用？

因為工作需求，需要了解一下設備指紋相關的知識，以及在風控領域的一些應用

移動互聯網的快速發展，特別是O2O行業與互聯網金融行業的迅猛崛起，使得寄生其上的黑色產業鏈達到了泛濫的地步。據權威機構統計，2015年整個互聯網行業因為欺詐造成的損失已經高達7000億元。在這巨大的黑產利潤誘使下，相應的欺詐技術也快速發展。現在的黑產產業，通過整合刷號軟體、自動化腳本、驗證碼打碼平台、簡訊介面和代理伺服器等技術，已經實現了全自動化的欺詐作業流程，可以在短時間內給企業造成巨大的經濟損失。

針對移動互聯網推廣與運營中所面臨的設備識別與追蹤的問題，數字設備指紋技術成為了行業關注的焦點。業內設備指紋技術一般採用Javascript代碼或SDK，在客戶端主動地收集與設備相關的信息和特徵，通過對這些特徵的識別來辨別不同的設備和相關用戶。這種主動式設備指紋技術有其特有的優點和適用場景，但是在實際的應用中，也暴露出了一些不足與局限。

主動式設備指紋技術需要在客戶端上植入自己的Javascript或SDK代碼，主動收集設備相關的特徵，用以標識設備和用戶。在特徵的選取上，需要考慮特徵的穩定性和準確度。理想的特徵應該在一定的時間段內不會因為外界的條件變化、或是用戶的操作行為而發生變化，同時在不同的設備上具有顯著的差異。通常可用的特徵有：

? 瀏覽器本身的特徵，包括UA，版本，操作系統信息等；

? 瀏覽器中插件的配置，主要是插件的類型與版本號等；

? 瀏覽器的Canvas特徵，影響該特徵的因素有GPU特性造成的渲染差異，屏幕的解析度以及系統不同字體的設置等；

? 系統flash的配置；

? 設備的感測器特徵，比如麥克風、加速感測器的特徵等；

? 設備操作系統的特徵，比如是否越獄等；

? 設備的網路配置；

設備指紋演算法會將這些信息組合起來，通過特定的hash演算法得到一個最後的ID值，作為該設備的唯一標識符。通過對這個標識符的檢測與追蹤，就可以在設備的IP，cookie甚至設備ID都發生改變時，仍然識別出該設備。

同時，考慮到設備指紋的穩定性，一般還會結合其他的持久化的存儲技術，比如Flash ID，WebDB等，將設備指紋的標識符長期保存起來。

主動式設備指紋技術解決了在複雜的移動互聯網環境下設備的識別與追蹤問題，在反欺詐與系統安全方面有著諸多的應用。

一方面，O2O、互聯網金融與電商等行業，長期面臨著各種業務欺詐的壓力。黑產產業通過廣告流量欺詐、推廣套利、虛假交易、偽冒身份、金融信用欺詐等多種方式，騙取企業的推廣營銷費用、商品、貸款等，給企業造成巨大損失。這類欺詐活動的明顯特徵，就是欺詐者通過刷號、代理等各種手段，隱藏自己的真實身份和設備信息，以達到欺騙的目的。主動式設備指紋技術可以向企業運營人員展示這些欺詐活動背後的真實設備信息，從而讓企業可以偵查、監測這類詐騙活動。

另一方面，在更加基礎的系統安全領域，比如賬戶安全、訪問控制等方面，主動式設備指紋技術同樣可以幫助企業監測可能的賬戶密碼暴力破解、賬戶異常接管等事件。通過溯源某些異常的操作是否來源於同一台設備，可以判斷是否有系統安全的風險存在。

主動式設備指紋技術已經在互聯網領域得到了大量的應用，但與此同時該項技術本身固有的一些局限性也逐步顯現出來：

? 主動式設備指紋技術存在用戶隱私相關的風險，其原因是該技術需要在客戶端收集設備和用戶的相關信息。該風險不僅包括用戶的隱私被收集、泄露和濫用的風險，也包括因為違反Apple和Google的用戶隱私保護政策而造成APP下架的風險。

? 主動式設備指紋技術不能實現Web與APP間的設備關聯。由於嵌入Web頁面的Javascript代碼和移動APP中的SDK收集的設備特徵不同，導致生成的設備指紋標識符也不相同。從而造成了同一設備上Web訪問和APP使用的相關事件無法關聯在一起，限制了主動式設備指紋技術使用的範圍。

? 主動式設備指紋技術在欺詐與反欺詐的對抗中，處於被動應對的狀態。欺詐者可以通過反編譯等技術，破解客戶端中嵌入Javascript代碼和SDK，知曉設備指紋演算法選取的特徵，從而在欺詐與反欺詐的攻防戰中佔據主動的優勢地位。

設備指紋的穩固性，直接影響了，模型如何搭建，以及風控決策。可以理解成，身份證。

要保障 這個設備指紋 不漂移，是一個非常浩瀚的過程。