創新網頁密碼認證方式
目前網路上的認證方式,普遍採用文字式的帳號密碼登入。
其他的認證方式,例如Ic卡 等方式。由於設備限制,或是程序過於繁複,無法常態
讓廣大用戶接受。
但是,傳統登入的密碼,是由使用者自行指定,並且由使用者自行保管,並於服務商
資料庫中儲存進行比對。
這樣的方式有許多問題:
1.密碼會遺失
2.密碼容易被側錄
3.有意義的字串密碼,容易被資料拼圖方式破解
因此,我想出一個認證方式,提供大家一起思考。
程序如下:
申請:
1.使用者申請帳號,服務商系統紀錄帳號急電子郵件。
2.服務商系統亂數順序產生一組包含0-9及a-z的文字串,字串中符號只出現一次,例如:
qwert123yuiop4567asdfgh890mnbvjklcxz
將此字串紀錄於資料庫,然後與順序的符號串疊列對照,例如
1234567890abcdefghijklmnopqrstuvwxyz
qwert123yuiop4567asdfgh890mnbvjklcxz
並將這個表轉換成圖片後寄送給使用者。
登入使用:
1.服務商系統產生輸入畫面包含:
a.帳號欄位
b.隨機產生長度8-12個符號,包含0-9,a-z,例如:
6h49c06ls6
並顯示於畫面。
c.輸入密碼欄位
2.使用者輸入帳號。
3.使用者使用對照表後轉換的密碼,參考上面的對照後為2sru4i2gn2。
4.使用者輸入密碼2sru4i2gn2,並且按下確認。
其他:
1.服務提供商的系統可以定期重新產生新的密碼對照表,並且寄送給使用者。
好處:
1.使用困難度僅較直接記憶帳號密碼困難。
2.每次登入輸入密碼皆不相同。
3.木馬,或是網路封包擷取側錄無法得到有用資訊。
4.使用者無須記憶密碼。
5.不用宣導用戶定期更換密碼。
6.密碼字串不具任何意義,難以被猜測。
7.密碼先隨機選擇密碼長度,然後才產生隨機密碼,密碼由0-9,a-z等共36個符號隨
機排列組合,重複機率很低。
以上,針對最近木馬盜取帳號密碼,以及拼圖式資料入侵想到的配套方案。
