不完整密码输入法技术研究.doc

不完整密码输入法技术研究.doc 不完整密码输入法技术研究 吴斌 凌琳 彭军* (江西农业大学 计算机与信息工程学院 江西 南昌 330045) [摘 要]文章分析了现下网络账户安全的弊端，提出用最廉价的方式“不完整密码输入”方 式，及每次输入用户帐号后不需要输入全部的密码，而只是输入密码的部分数据，以达到防 止木马病毒一次将账户的帐号、密码信息全部盗走，来有效的提高普通账户的安全性，并对 其技术实施上做出了样例分析。 [关键词]普通账户、安全性、不完整密码 Incomplete Password Input Method Engineering Research wubin linglin (College of Computer and Information Engineering, JXAU, Nanchang 330045 ,China) Abstract: The article has analyzed now the network account security malpractice,proposed with the most inexpensive way "the incomplete password input"the way, after and each time inputs the user account not to need toinput the complete password, but only is inputs the password thepartial data, achieved prevented the wooden horse virus time theaccount account number, the cryptographic information completely robs,comes the effective enhancement ordinary account the security, and hasmade the type example analysis to its technical implementation in. Key words:Ordinary account, Security, Incomplete password 一、引言 进入2006年以来，黑客窃取网银资金案件进入多发期，利用网页病毒、木马病毒等手 段窃取用户账户信息，进而通过网络支付、网上转账等形式窃取资金，已经成为黑客敛财的 新途径。2006年7月，某银行网上银行用户接连被窃巨款，目前已有北京、南京、杭州、 合肥等十几个城市的70余名用户受害，涉案金额高达30万元。此前，湖南警方也逮捕了一 个专门窃取网银资金的黑客团伙，该团伙控制的银行账户超过1000个，共窃得资金40余万 元。 二、账户安全现状 网络账户安全现在已经威胁到网上各个阶层用户的安全。从银行账户被盗，并威胁到账 号中存款，到网络游戏账号频繁被盗，造成游戏用户虚拟财务上的损失。大部分被盗的原因 是因为用户曾经在中有木马病毒的不安全计算机上使用过自己的账户，导致账号和密码被 盗。 现有的账号密码检验机制存在的问题是:只要用户无意中在不安全的计算机上使用过自 己的账号，并未及时修改密码就可能造成密码被盗的实事。现在部分银行在使用网上银行是 建议用户使用数字证书或第三方矩阵加密卡，但相对比较被动。如果用户未能及时使用就可 能造成安全隐患。特别是现在网络中大部分资源还属于免费使用，要用户使用收费的账户保 护方式就有点困难。 因此，如何用最低的物理成本解决普通账户的安全，就成为了现在网络账户安全中因即 时解决的问题。本人在长期使用不同的网络账号、密码中发现个普遍的问题，也是账号很容 易一次就被木马病毒盗取的问题:即现在所有的账号、密码都是用户一次全部输入完， 服务器才校验其账号、密码的正确性。这样就带来个很大的安全隐患，如果用户在不小心时 使用过中木马病毒的计算机，哪怕只是一次也会给账户的安全带来灭顶之灾，其后果是可以想象的。所以本人提出“不完整密码输入法”来降低普通用户在账户使用中的安全隐患。此方法的具体思路是:用户输入账号后，只需要输入密码中的部分信息，而不是全部，并且信息输入的顺序不固定。这样即使用户在使用过数次不安全计算机，也不会造成对账户安全的威胁。 三、普通账户解决 例如，一个账户的信息结构图如图1: 账户信息: 账号:jxaujsj 密码1:demo200704 密码2:test200411 图1 用户的账号名为:jxaujsj，密码1为:demo200704，密码2:test200411。当用户登陆自己账户时，系统先要求用户输入账号及先输入:jxaujsj;系统再提示用户输入密码1的第4位，则用户输入:o;系统再次提示用户输入密码2的第8位，则用户输入:4;系统再提示输入密码1的第7位，则用户输入:0。因为密码输入是随机的、不完整的，即使这次用户账户的账号被木马记录，再加上3个不能确定位置的密码部分信息，完全不能对账户造成任何损失。如果系统控制一下，出现过的字节段不再提示，及这次输入的密码1的第4位、密码2的第8位、密码1的第7位，下次不再提示任何一位，则用户要在此台不安全的机器上使用自己的账户1140次能被木马病毒记录下密码中的所有字节，但这也只是所有字节，并没有密码的排布顺序;如果用户能做到定时修改密码1或者密码2，则密码外泄的肯能性就更小。所以账户的安全系数可以大大提高。 具体输入方式如下图: 实现代码: <% function checkPwd(id,psd) '用户id及密码 dim conn,param,rs set conn=server.createobject("adodb.connection") '创建数据库连接对象conn param="driver={microsoft access driver (*.mdb)}"‘指定数据库驱动程序，不可省略写为“access diver(*.mdb)” conn.open param & ";dbq=" & server.mappath("psd.mdb") '用指定的数据库驱动程序打开数据库，并指定数据路径 sql="select*from psd where id='" & id & "' and psd='" & psd & "'" ‘定义sql从数据库中读取id及psd的值,本行中的第一个psd是指数据库名，以后的psd是指psd.mdb中的psd字段。 set rs=conn.execute(sql) '打开数据库 if rs.eof then checkpwd = false else checkpwd = true end if end function 以上几句判断是否已经读完数据库中的记录，如果没有，就向后读，如果已经完成，则验证用户名及密码。如果验证通过，则为true,反之为flase %> 以上方法作者曾经在自己的机器中做测试，传统的帐号密码输入方式只是一次就被木马病毒将全部的账户信息盗走，而用“不完整密码输入”的方式，木马盗走的只是账户的用户名和部分密码信息，在多次输入信息后才将密码的有用信息盗走，还要人为的将有用信息组合成真正的密码1和密码2，但实际上是不大可能的。所以本方法的实际应用领域是很广阔的。 四、结束语 此技术比较适合现下网络中各类免费资源，供应商对本身的系统改动不大，而且不需要提供任何物理成本，使用者也不必为此购买其它第三方加密卡。因此此技术可以用最低的物理成本位使用者带来最大的安全保障。没有绝对安全的技术，只有最安全的用户习惯。 参考文献: [1] 彭军，郑蕉等，软加密技术在基于ASP的农业信息系统中的应用[j] 农业网络信息，已录用 [2]Merke Kaeo[美]. 网络安全性设计 [M]北京:人民邮电出版社，2000 [3] Microsoft DN Library, Microsoft Corporation.Platform SDK:Security[M],2002 [4] 斯泽[美],段新海 译,计算机病毒防范艺术, [M]北京:机械工业出版社, 2007 [5] 斯托林斯[美], 密码编码学与网络安全——原理与实践(第三版),[M]电子工业出版社, 2004 作者简介: 吴斌(1977,)，男，江西东乡人，江西农业大学计算机与信息工程学院助理实验师;研究方向:农业信息化，计算机应用。 通讯作者:彭军(1981-)，男，江西永新人，江西农业大学计算机与信息工程学院讲师，南昌大学信息工程学院硕士研究生;研究方向:农业信息化，计算机应用。