隨著互聯網日益龐大，賬號密碼成為用戶唯一的遮羞布，隨著CSDN事件發生，這塊遮羞布也變得透明，其實CSDN賬號泄露僅僅是一個表現，賬號安全早已經存在，黑客們手上多多少少都有一批賬號，不論是攻擊所獲還是黑客之間分享。

再隨著智能手機的發展，APP下載量的提高，互聯網業務也在移動網絡間壯大，但賬號安全問題依然存在。

二次驗證成為直接解決方案

一線安全的失守使互聯網公司不得不建立第二道防線，這道防線擁有比密碼更強、更安全的、更嚴謹的校驗手段，如采用OTP、密保卡、密保問題、證書等等。于是各大互聯網紛紛推出了二次驗證服務，如騰訊、GOOGLE、淘寶等等，但這也同時帶來了二個問題：

用戶體驗問題：凡是安全校驗產品往往都存在用戶體驗問題，需要用戶主動或被動的提供校驗憑據才能信任用戶。如果提供手段需要用戶操作那無疑加大了用戶操作負擔，從而導致用戶體驗下降。

無線端支持問題：無線操作系統的不一致性對某些安全產品無法支持，或操作習慣不一致導致操作復雜(比如校驗短信發送在手機，而自己需要登錄手機應用，則必須先推出應用去看手機短信，再回過頭來完成校驗)

這些問題使二次驗證在無線端無從下手。

隱形的校驗

安全產品分為幾個層次，即用戶可知的、用戶擁有的和用戶自身的。用戶可知的就是密碼、密保問題等、用戶擁有類似證書、OTP產品，而用戶自身的便是生物特征等。安全級別也隨層次增高而加強。

但實際上還存在一個可利用的環節，利用社會工程學可以明確，現在互聯網用戶存在習慣，而習慣帶來的將會是行為規則。而這些規則完全可以利用起來，變成小傷用戶體驗的校驗方式。

例如：用戶時常登錄互聯網的IP，當發現用戶登錄IP時常為此IP，基本上可以認為沒有異常，但突然某次IP不一致，視為威脅存在，然后再采用強校驗或對用戶身份進行識別來保證用戶賬號的安全性。

這樣的校驗方式的好處就是對于用戶來說是透明的，而且有利于互聯網公司對用戶習慣行為進行一個預知，也有利于業務拓展。但這樣的校驗也存在缺陷，用戶行為不可知(比如上例中IP作為校驗憑據，但用戶很有可能旅游，導致IP確實有變動)所以行為規則作為校驗必須有補充，即二次驗證還是需要存在，同時必須加強行為規則的校驗憑據的強度和靈活度(不采用IP，采用MAC或鍵盤輸入頻率等等)

什么是XPS

xps是一種混合性定位服務，它擁有比GPS更精準的功能。其原理是及其能定位的條件與一身來做到精準判斷手機位置，比如IP、WI-FI、基站信息等。這樣的服務擁有多個組成成分，那么意味著是多樣的校驗憑據，從安全角度理解，多粒度的校驗是較安全的，那么XPS就是滿足者。

為什么要XPS，GPS或IP不能做到嗎?其實問題很簡單，如果了解過移動通信的童鞋就很明白，流量型網絡出口IP可能是一個，Wi-FI用的是網關IP，在國內寬帶IP沒有規范型(運營商可能將寬帶業務作為專線鋪蓋，而沒有一個標準維護的IP地理位置庫)，而天然的手機終端設備信息正在被弱化(IOS5開始不提供唯一標示等)

不是新技術但是有條件：

XPS并不是什么新技術，而是集合了各種已有技術互補缺陷而維穩。簡單的寫些獲取信息代碼：

Androidget Gps

Androidget Cells

用的是Rexsee的基站定位(Rexsee Cell Location對象)。示例代碼如下，其中cid和lac為經緯度。

如何使用XPS

類似GPS基站信息，都需要我們去維護這個庫，基站信息一把都把控在運營商手中作為盈利模式，所以維護基站信息是需要成本的，民間確實有些老庫還能使用但不能所100%精準，但無妨因為XPS不僅僅依靠基站信息。而是結合了GPS+WPS+IP+基站等多個信息來判斷用戶手機位置，如果發現其中某些數據不對，可以降低其安全系數，如果安全系數非常低，就可以對這次校驗請求進行進一步的確認，如彈出二次驗證進行校驗。