[发明专利]避免账号被冒用的系统登入方法

说明书

技术领域

本发明为一种避免账号被冒用的系统登入方法，详而言之，是用以避免帐号、第一道密码以及第二道密码遭到窃取的使用者的账号遭到他人冒用的系统登入方法。

背景技术

一般而言，当使用者欲登入信息安全要求性较高的系统时，系统都会对该使用者的账号进行相关的验证，例如确认使用者所输入的帐号以及密码是否正确，并在确认通过时，始得以登入该系统。然而，一般的帐号及密码大多为字母、数字或字母与数字的组合，相当容易遭到有心人士(例如骇客)的破解、侧录或窃取，进而冒用该使用者的账号登入预定系统，造成该使用者不可预期的损失。

为了解决一般的帐号及密码容易遭到有心人士的破解或窃取的问题，在输入帐号及密码的同时要求使用者输入第二道密码，例如动态密码(或称一次性密码(One Time Password))，以进行双重账号验证的系统登入方式也越来越普遍。而上述动态密码为仅能使用一次的密码，大多利用相关的密码产生器所予以产生，再搭配相关的认证单元以对该使用者的账号进行进一步的认证。详而言之，系统会发出认证请求至相关的认证单元，以要求该认证单元对该使用者的账号进行进一步的确认，也即要求该认证单元核对使用者所输入第二道密码是否正确。

但是，即便动态密码具有单次使用性以及具有时效性，也无法完全避免在网络系统的传输过程中，遭到有心人士(例如骇客)窃取或侧录的可能性。而若该使用者的帐号、第一道密码，以及第二道密码皆遭到有心人士的窃取或侧录，该有心人士即可利用窃取得来的帐号、第一道密码，以及第二道密码冒用该使用者的账号登入预定系统。因此，即便增加了第二道密码的系统登入步骤，也无法完全避免使用者的账号遭到有心人士的冒用的风险，使得该使用者可能遭受无法估计的损失。

因此，如何提供一种避免账号被冒用的系统登入方法，即便该使用者的帐号、第一道密码，以及第二道密码皆遭到有心人士的窃取或侧录，该有心人士也不得冒用该使用者的账号登入系统，即为各界所及待解决的课题。

发明内容

为解决上述问题，本发明提供一种避免账号被冒用的系统登入方法，应用在使用者的账号数据遭到有心人士窃取，且该有心人士欲冒用使用者的账号登入预定系统，且该预定系统发送认证请求至认证单元以要求该认证单元对该使用者的账号进行认证。

本发明的避免账号被冒用的系统登入方法包括以下步骤：首先，在认证单元接收到从预定系统发送来的要求该认证单元对该使用者的账号进行认证的认证请求时，令该认证单元记录该次认证请求及发送该次认证请求的预定系统。接着，令该认证单元判断在预定间隔时间内是否再次接收到要求该认证单元对该使用者的账号进行认证的认证请求，若是，则令该认证单元判断在该预定间隔时间内发送该次认证请求的发送端是否为前述记录中的预定系统；若否，则令该认证单元对该使用者的账号进行认证，且在认证通过时开放该使用者的账号登入该预定系统，并结束该系统登入方法的处理。

而若该认证单元判断在该预定间隔时间内再次发送认证请求的发送端为前述纪录中的预定系统时，则令该认证单元对该使用者的账号进行认证，且在认证通过时开放该使用者的账号登入该预定系统，并结束该系统登入方法的处理。反之，若该认证单元判断在该预定间隔时间内再次发送认证请求的发送端并非为前述纪录中的预定系统时，则令该认证单元发出警告并否决该次认证请求，并使得上述再次发送认证请求的发送端拒绝该使用者的账号登入该发送端，并结束该系统登入方法的处理。

在本发明的一实施例中，还包括令预定系统对该使用者的账号进行初步认证的步骤，是指令该预定系统确认该使用者针对其账号所输入的帐号及第一道密码是否正确。再者，令该认证单元对使用者的账号进行认证的步骤，是指令认证单元确认使用者针对其账号所输入的第二道密码是否正确。此外，该认证单元所发出的警告以简讯及/或电子邮件的方式通知上述该预定系统、发送端及/或账号认证通过的使用者。

相比于现有技术，本发明的避免账号被冒用的系统登入方法因可在认证单元首次接收到认证请求时予以纪录。因此，若该认证单元之后又再接收到认证请求时，即可依据前述记录判断出该使用者的账号是否遭到冒用。而当在该认证单元判断出该使用者的账号遭到冒用时，不但可发出警示也可阻挡冒用该使用者的账号的非正当者登入其欲登入的服务系统。据此，即便该使用者的账号数据(帐号、第一道密码，及第二道密码)遭到有心人士的窃取或侧录，该有心人士也不得以冒用该使用者的账号来登入其欲登入的服务系统。

附图说明

图1为本发明的避免账号被冒用的系统登入方法的步骤流程示意图；以及