[发明专利]防止撞库攻击的口令验证方法、系统、中间件及存储介质

说明书

本发明涉及防止撞库攻击的口令验证方法、系统、中间件及存储介质，其中口令验证方法包括以下步骤，将用户口令PW分解成两个相互关联的登录随机因子和；结合用户身份标识ID_u将两个所述登录随机因子和与注册生成的用户注册信息进行口令验证；其中，所述用户注册信息包括所述用户身份标识ID_u和由所述用户口令PW分解成的两个相互关联的注册随机因子和。本发明的口令验证方法的基本设计思想是将一个用户输入的口令分解成两个随机因子，将两个随机因子和服务器进行口令验证，该方法降低了用户在不同应用服务器上使用同一口令遭受撞库攻击的风险，省去了用户通过使用不同的口令来防范撞库攻击的麻烦，因此，本方法更加方便、实用且安全。

技术领域

本发明涉及互联网口令验证领域，具体涉及防止撞库攻击的口令验证方法、系统、中间件及存储介质。

背景技术

随着互联网的发展与普及，用户信息泄露问题也越来越显著。比如京东撞库抹黑事件、之前的CSDN、知名酒店集团数据泄露等，在互联网时代似乎每个人都是透明的，个人信息一进入互联网，就完全暴露在他人眼中。虽然网络秩序的维护者一直在与那些盗取信息的黑客作斗争，但是非专业人士对这种专业行为了解往往不足，不知道该如何预防攻击，甚至没有要预防被攻击的意识。而本发明所要防范的撞库攻击行为，即指黑客通过互联网收集已泄露的用户和密码信息，生成相应的字典表，利用字典信息尝试批量登录其他网站后，进而获得更多用户名密码的攻击。

为了使本发明的背景更加清楚明白，先介绍几个与撞库攻击相关的黑客术语：拖库，谐音“脱裤”，是指黑客通过某种手段攻击并进入网站，然后将里面的用户信息，数据和资料全部拿走的行为。在获取大量数据之后，黑客将通过一些技术和网络上的黑色产业将自己获取的信息变成现金，获取利益，这种行为称为洗库。之后黑客将自己获取的用户资料，比如用户名和密码，用到其他网站上尝试登录的行为称为撞库。

黑客获取数据的方式多种多样，但是总体来说分为社工层面和技术层面两个方面。社工层面比较容易理解，从人下手，通过各种手段，如钓鱼网站、重金收买等，利用网络管理员来获取利益；技术层面方式也很多，如配置错误，服务器漏洞以及web本身的漏洞，利用一系列漏洞进入目标数据库。常见的手段是远程下载库文件，利用web漏洞和邮件钓鱼等等。黑客得到自己想要的数据之后，尝试登陆其他网站实现撞库。

但是黑客解密文件也有一定难度，虽然大部分用户名和真实姓名，邮箱等等信息，在网站数据库中，以明文形式存储，但密码是通过MD5加密存储的，对于一个攻击者来说，把信息从数据库中剥离出来容易，但解密是有难度的。常见解密方式有暴力破解和字典破解两种，相关的暴库软件有很多。一旦解密成功，黑客得到用户名和密码，便可以贩卖这些信息，或者用于撞库攻击。所以防止撞库攻击，不仅仅是在保护个人信息，也是在为网络安全秩序做贡献。

当前针对撞库攻击问题，已经有了一些解决策略。最基本的思路是用户尽量不使用同一套密码机制，但是这种策略对用户来说是极不便利的，除此之外，防止撞库攻击的方法还包括以下几种：(1)限制同一个IP的请求次数和请求频率。但由于现有浏览器端还有代理服务器的存在，这个方法的作用并不是很明显；(2)使用cookie或者帆布指纹等。很多网站都使用这种方法，但是，在某种条件下网站存储的数据可以被清除掉；(3)添加验证码，这是网站防撞库最常用的方式之一。但是这种验证码机制在请求一次之后，就可以被绕过，且普及面较广，安全指数相对来说比较低。

发明内容

本发明所要解决的技术问题是提供防止撞库攻击的口令验证方法、系统、中间件及存储介质，采用密码方法和服务器交互的方式，使得用户名和密码保护变得更安全和更简便，可防止撞库攻击。

本发明解决上述技术问题的技术方案如下：防止撞库攻击的口令验证方法，包括以下步骤，

将用户口令PW分解成两个相互关联的登录随机因子和