[发明专利]动态提供演算式密码/盘问鉴定的方法与计算机装置

说明书

技术领域

本发明是关于提供密码式盘问鉴定的机制；尤其是动态提供演算式密码/盘问鉴定的方法与计算机装置方法与计算机装置。

背景技术

日常生活中使用到各式各样的信息装置，例如移动电话、个人计算机、笔记型计算机、平板计算机等，其中皆可能储存有使用者的个人数据及身份数据。随着网络的普及，越来越多的网络应用以联机操作（on-line）执行。特别是，服务器为了提供网络服务，例如社交网络服务、网页邮件服务、移动商务服务、银行在线交易服务、数据库存取服务或是内容信息提供服务等等，也储存有使用者的个人数据及身份数据，因此为了安全性以及隐私的考虑，服务器一般会要求使用者在使用其服务前，需遵守一鉴定（authentication）程序以确认使用者身份。目前，最常用的是密码式盘问（password-basedchallenge）鉴定程序。即服务器一般会要求使用者在使用其服务前，需先输入使用者账号与密码来进行身份识别(或称为“登入（login）”)，避免使用者的个人数据被盗取或窜改。

由于网络涵盖范围及可及性（accessibility）快速增加，越来越多攻击目标针对密码以伪造（fake）使用者的身份。因此，简单的密码不再能提供足够的保护，各种不同机制被提出以提供更佳的保护。例如，要求密码长度、复杂性及不可预测性，以获得抵御粗暴及字典式搜寻攻击的密码强度。此外，要求定期地更改密码，使旧密码失效，因而可减少密码被破解的可能性。这些机制增加安全性，因此能帮助使用者保护其账号。

然而，如图1所示，客户端100透过网络140透过盘问101及提供账号/密码102的鉴定程序，对网站A 110、网站B 120、网站C 130等要求不同网络服务。实际上多数使用者对不同的网站A 110、网站B 120、网站C 130等通常使用不同账号/密码。这些机制要求使用者必须记住多个访问不同网站的网络服务的密码。此外，人们往往每天仅登入少数网站，因此通常不易正确无误地记住那些很少拜访的网站的密码。一般情况，使用者必需试着猜密码，且很可能因太多错误尝试而被锁住。

因此存在一能帮助使用者记住扰人的密码且又能维持安全性的需求。习知的动态密码（one-time password（OTP））技术提供一解决方案。然而OTP要求额外的技术以提供密码给使用者。许多情况下，OTP技术使用一电子装置。此电子装置可能遗失，因此增加了遗失密码的风险。此外，不同组织可能很难分享其OTP产生机制。使用者若要访问不同网站提供的网络服务，则将需求不同电子装置。因此，使用者需随身携带多个电子装置，这更增加遗失的风险。

一密码提示（hint）的机制提供了另一解决方案。然而，此机制可能降低安全性，因非授权者通常也能看到此密码提示，因而能帮助黑客破解密码。此外，此机制很难对一复杂密码提供一适当的密码提示。因此，今日机密的（sensitive）系统很少利用此机制。

习知有许多提供更佳保护的密码式盘问的方法，例如可参考WO2006/020096A2、WO 2002/017556A1、美国专利US 5841871、US 6094721、美国专利申请公开号US 2007/0011724A1等，在此以引用的方式并入本文。

发明内容

本说明书中所提及的特色、优点、或类似表达方式并不暗示本发明可实现的所有特色及优点应在本发明的任何单一的具体实施例内。而是应明白，有关特色及优点的表达方式是指结合具体实施例所述的特定特色、优点、或特性包含在本发明的至少一具体实施例内。因此，本说明书中对于特色及优点、及类似表达方式的论述可与相同具体实施例有关，但亦非必要。

此外，可以任何合适的方式，在一或多个具体实施例中结合本发明所述特色、优点、及特性。相关技术者应明白，在没有特定具体实施例的一或多个特定特色或优点的情况下，亦可实施本发明。在其它例子中应明白，特定具体实施例中的其它特色及优点可能未在本发明的所有具体实施例中出现。