[发明专利]一种密码输入方法及系统

说明书

技术领域

本发明涉及网络安全应用领域，特别涉及网络安全应用的用户密码输入技术，具体的讲是一种密码输入方法及系统。

背景技术

在网络环境中，各种计算资源(如：文件、数据库、应用系统)需要认证机制的保护，以确保这些资源被有权使用的人使用。比如网上银行业务，首先必须在网上银行设置一个个人账户，并设定密码。当通过网络访问该网上银行业务时，需要输入账户名和密码。只有在账户名和密码被确认之后才可以使用网上银行的服务。

然而，在通过互联网获取各式各样的服务，如网上银行、网上购物时，均面临一个问题，那就是，大部分系统都是通过用户名和密码来验证用户的身份，于是出现了多个系统要求同一用户提供密码的情况，因此出于记忆的原因，可能大多数用户会在不同的系统设定同一个好记的密码，这样一旦密码泄露，密码所有者的所有系统便存在被盗用的危险。在现有技术中，对密码的攻击方式有很多，以下例举出几种：

网络数据流窃听(Sniffer)，由于认证信息要通过网络传递，并且很多认证系统的口令是未经加密的明文，攻击者通过窃听网络数据，就很容易分辨出某种特定系统的认证数据，并提取出用户名和密码。对于采用安全套接层(SSL)传输的方式可以认为是安全的，但它职责有限，可确保的是传输层的安全，至于底层的键盘输入，是没办法保护的；

认证信息截取/重放(Record/Replay)，有的系统会将认证信息进行简单加密后进行传输，如果攻击者无法用第一种方式推算出密码，可以使用截取/重放方式；

字典攻击，由于多数用户习惯使用有意义的单词或数字作为密码，某些攻击者会使用人们常用来作为密码的单词、数字等编为字典，然后通过此字典逐个尝试密码的正确性，来攻击系统；

穷举尝试(Brute Force)，这是一种特殊的字典攻击，它使用字符串的全集作为字典，如果用户的密码较短，很容易被穷举出来；

暴力破解，就是针对网上银行这类的系统，不是破解某个用户的密码，而是通过知道用户卡号的生成算法，通过计算机，用某些密码，去穷举多个卡号的方式，来完成破解某些密码的目的；

窥探，攻击者利用与被攻击系统接近的机会，安装监视器或亲自窥探合法用户输入口令的过程以得到口令，由于计算机的键盘的固定排列，导致此种方法比较凑效；

假系统欺骗，是指通过假冒真实的系统，如最近频繁出现的假网上银行系统，诱使真实系统的用户使用，输入了其用户ID和密码，从而得到用户的ID和密码的方式；

社交工程，是指通过社交的方式，接近用户并取得用户的信任，最终从用户得到用户ID和密码，或者攻击者冒充合法用户发送邮件或打电话给管理人员，以骗取用户口令；

垃圾搜索，攻击者通过搜索被攻击者的废弃物，得到与攻击系统有关的信息，如果用户将口令写在纸上又随便丢弃，则很容易成为垃圾搜索的攻击对象。

猜测，是指直接猜测用户的密码，通常用户的密码都是一些有意义的单词或生日等，所以这种方式，往往是比较容易凑效的攻击方式，虽然用户可以通过经常更换密码和增加密码长度来保证安全，但这同时也给用户带来了很大麻烦。

总结上述的密码问题，可以看到，易用性和私密性往往是一对矛盾，比如说为了好用，人们通常选用好记的密码，而从系统角度又是不安全的。这种矛盾可以通过表1的对照而一幕了然：