CN102436567B - 信息处理装置及密码诊断方法 - Google Patents
信息处理装置及密码诊断方法 Download PDFInfo
- Publication number
- CN102436567B CN102436567B CN201110290699.6A CN201110290699A CN102436567B CN 102436567 B CN102436567 B CN 102436567B CN 201110290699 A CN201110290699 A CN 201110290699A CN 102436567 B CN102436567 B CN 102436567B
- Authority
- CN
- China
- Prior art keywords
- password
- diagnosis
- moment
- reference instant
- once
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
提供信息处理装置及密码诊断方法,能够在尽量不提高漏掉恶意密码分析行为的可能性的前提下,通过密码尝试进行密码诊断。用户终端具有:诊断部(23),其通过密码尝试来进行密码诊断,存储部(24),其存储进行所述密码诊断的时刻,信息取得部(21),其取得由所述存储部(24)存储的上一次密码诊断的时刻来作为上一次时刻,还取得用于判断是否需要进行密码诊断的基准时刻,判断部(22),其判断所述上一次时刻是否符合以所述基准时刻为基准的规定条件;在所述判断部(22)判断为所述上一次时刻符合以所述基准时刻为基准的规定条件的情况下,所述诊断部(23)进行所述密码诊断。
Description
技术领域
本发明涉及密码诊断。
背景技术
现有这样的安全对策效果输出装置,用于进行如下处理:取得登记在对象计算机中的用户标识符信息,并且生成一个或多个弱密码,指定其用户标识符信息以及弱密码来尝试向对象计算机登录(login),在其尝试成功的情况下,阻碍向特定对象计算机的登录要求,所述特定对象计算机是指,指定其尝试成功所用的用户标识符信息以及弱密码的对象计算机(参照专利文献1)。
另外,现有这样的密码选择支援系统,将实现密码长度确认以及文字种类确认的密码的哈希值(hash value)与存储在字典数据库中的哈希值进行比较,来判断是否与所存储的词头的哈希值相符,在不相符的情况下登记该密码的哈希值(参照专利文献2)。
现有技术文献
专利文献
专利文献1:JP特开2003-256369号公报,
专利文献2:JP特开2001-134491号公报。
在用户在计算机系统中设定的密码是容易推测的密码的情况下,被成功推测密码的第三者或恶意软件(malware)等使用系统的可能性高。因此,系统管理员需要确认用户所设定的密码是否为不容易推测的恰当密码,来维持系统安全。
在此,以往使用这样的密码诊断方法等,即,对于旧密码来说需要变更密码,因此通过调出OS(Operating System:操作系统)的API(Application Programing Interface:应用程序接口),使用容易推测的密码来尝试变更密码,在能够实施变更的情况下判断为正在使用弱密码;或者使用这样的密码 诊断方法,即,使用容易推测的密码尝试登录系统,在登录成功的情况下判断为正在使用弱密码。
但是,存在这样的问题:在所述那样的密码尝试的密码诊断方法中,密码尝试失败的记录会残留在系统的记录(log)中。因此,如果因密码诊断而使得表示密码尝试失败的记录增加,则系统或管理员难以判别起因于密码诊断的记录和起因于真正攻击(恶意的密码分析行为)的记录,漏掉真正攻击的可能性高。
发明内容
本发明是鉴于上述问题而做成的,要解决的问题是,在尽量不提高漏掉恶意密码分析行为的可能性的前提下,通过密码尝试进行密码诊断。
在本发明中,为了解决上述问题采用了如下方法。即,提供一种信息处理装置,其具有:诊断单元,其通过密码尝试来进行密码诊断,存储单元,其存储进行所述密码诊断的时刻,信息取得单元,其取得由所述存储单元存储的上一次密码诊断的时刻来作为上一次时刻,还取得用于判断是否需要进行密码诊断的基准时刻,判断单元,其判断所述上一次时刻是否符合以所述基准时刻为基准的规定条件;所述基准时刻,是与密码变更时刻或密码输入时刻中的至少一个时刻相组合使用的当前时刻;在所述判断单元判断为所述上一次时刻符合以所述基准时刻为基准的规定条件的情况下,所述诊断单元进行所述密码诊断,在所述判断单元判断为所述上一次时刻不符合以所述基准时刻为基准的规定条件的情况下,所述诊断单元采用上一次密码诊断的诊断结果来作为本次密码诊断的诊断结果。
在此,密码诊断是指,在诊断用户系统中设定的密码是否是容易推测的密码处理。本发明的信息处理装置为了进行密码诊断而采用密码尝试的方法,在该密码尝试的方法中,准备容易推测的密码,判断所准备的密码与已设定的密码是否一致。此外,在密码尝试的方法中,实际上除了采用经由系统接口输入密码的方法之外,还可以采用调出系统的API来实际上向系统交接所准备的密码的方法、取得密码的信息所含的数据来与所准备的密码进行比较的方法(例如,取得所设定的密码的哈希值,将其与所准备的容易推测的密码的哈希值进行比较的方法)等各种方法。
作为容易推测的密码,例如有,与系统的用户标识符(登录ID或用户名)相同或类似的密码,只由同一种文字构成的密码,原样使用字典中存在的单词的密码,通常所用的密码等。另外,本发明所称的“时刻”,只要是能够比较时间经过的前后关系的信息即可,例如,有表示日期及时间信息、 只表示日期的信息等。
在本发明中,在上一次的密码诊断的上一次时刻符合将基准时刻作为基准的规定条件的情况下,进行密码诊断,由此,能够减少密码诊断中的尝试频度。通过本发明,这样减少密码诊断中的密码尝试的频度,由此能够减少残留在系统的记录中的密码尝试失败的履历,能够防止漏掉实际攻击并有效利用资源。
另外,在本发明中,所述基准时刻可以是密码变更时刻;可以在上一次时刻比密码变更时刻旧(早)的情况下,由所述诊断单元进行密码诊断。
在上一次时刻比密码变更时刻旧(靠前)情况下,进行密码诊断,由此,在上一次的密码诊断结束之后没有进行变更密码,而一直使用进行过密码诊断的密码情况下,能够抑制密码的诊断,能够抑制因密码尝试存储的系统的记录。
另外,在本发明中,所述基准时刻是当前时刻;可以在上一次时刻比当前时刻旧了规定时间以上的情况下,由所述诊断单元进行密码诊断。
在上一次时刻比当前时刻旧了(靠前)规定时间以上情况下,进行密码诊断,由此,能够与有无变更密码无关地,在从上一次的诊断开始经过了规定时间的情况下,使上一次的诊断结果无效,重新进行密码诊断。
另外,本发明中,所述基准时刻可以是密码变更时刻及当前时刻;可以在上一次时刻比密码变更时刻旧或者比当前时刻旧了规定时间以上的情况下,由所述诊断单元进行密码诊断。
在上一次时刻比密码变更时刻旧,或比当前时刻旧了规定时间以上的情况下,进行密码诊断,由此,能够在上一次的密码诊断之后变更了密码或从上一次的密码诊断开始经过了规定时间的情况下,执行密码尝试,从而能够确保系统的状态更安全。
进而,本发明还能够用于计算机所执行的方法。
通过本发明,能够在尽量不提高漏掉恶意密码分析行为的可能性的前提下,通过密码尝试进行密码诊断。
附图说明
图1是表示实施方式的计算机系统的结构的概略图。
图2是表示实施方式的用户终端的功能结构的概略的图。
图3是表示实施方式的密码诊断处理的流程的流程图。
图4是表示实施方式的密码诊断处理的迁移(variation)的流程图。
图5是表示实施方式的密码诊断处理的迁移的流程图。
附图标记的说明
1计算机系统,
10用户终端,
21信息取得部,
22判断部,
23诊断部,
24存储部,
25通知部。
具体实施方式
下面,基于附图来说明本发明的实施方式。此外,以下说明的实施方式表示本发明的实施方式的一例,本发明并非限于以下说明的具体结构中。实施本发明时,优选适当采用与实施方式对应的具体结构。
<系统的结构>
图1是表示本实施方式的计算机系统1的结构的概略图。在本实施方式中,本发明的信息处理装置作为用户所使用的用户终端10来实施。本实施方式的计算机系统1具有:一个或多个用户终端10;管理服务器30,其用于对用户终端10提供管理服务;管理员终端90,其由管理员进行操作,对管理服务器30进行各种设定。在计算机系统1中,用户终端10、管理服务器30及管理员终端90通过网络9相连接,并能够相互进行通信。此外,作为网络9,例如能够使用LAN(Local Area Network:局域网)。但除了LAN之外,也可以使用WAN(Wide Area Network:广域网)、因特网、移动电话网、专线网路、私人网络、内网等相互连接的网络,来作为网络9。
用户终端10是计算机,具有CPU(Central Processing Unit:中央处理器)11、RAM(Random Access Memory:随机存取存储器)13、ROM(Read Only Memory:只读存储器)12、EEPROM(Electrically Erasable and Programmable Read Only Memory:电可擦除只读存储器)、HDD(Hard Disk Drive:硬盘驱动器)等的存储装置14,还具有通信单元(NIC)15、显示器、鼠标、键盘等的输入输出装置16等。另外,用户终端10也可以具有触摸屏显示器、扬声器、显示器、打印机、读卡器等,来作为入输出装置。
CPU11是中央处理装置,对展开在RAM13等中的指令以及数据进行处理,由此控制RAM13、存储装置14、输入输出装置16等。RAM13是主存储装置,由CPU11控制,写入或读取各种指令、数据。存储装置14是非易失性的存储装置,主要用于在切断用户终端10的电源后也能够写入或读取想要保存的信息。输入输出装置16由CPU11控制,显示所输出的显示数据,接受用户的操作。从输入输出装置16输入的内容被存储在RAM13中,由CPU11对其进行处理。
在存储装置14中,存储有用于加载到RAM13中而被CPU11执行的用户终端10的OS,除了OS之外,还存储有代理软件,该代理软件用于通过管理服务器30对用户终端10进行管理。代理软件是密码诊断用程序。
在本实施方式中,用户终端10执行密码诊断用程序,由此来判断用户对用户终端10的系统设定的密码是否为妥当的密码。通常,所设定的密码信息被系统加密。因此,在本实施方式中,用户终端10为了确认设定完的密码的妥当性,采用对系统尝试输入密码的方法。但诊断对象的密码也可以不设定在系统中。例如,在用户终端10中,可以针对所使用的某个的应用程序设定诊断对象的密码,也可以针对利用用户终端通过网络使用的服务设定诊断对象的密码。
在存储装置14中,存储有由OS管理的密码哈希(密码的哈希值)及系统的记录(log)。本实施方式的用户终端10的OS为了防止密码泄露,不用普通文来保存密码,而只保存密码的哈希值。如果对用户终端10设定了密码,则用户终端10计算密码的哈希值,将密码的哈希值与设定了密码的用户相对应关联地存储在存储装置14中。在通常的登录中,如果用户对用户终端10输入了密码,则用户终端10计算所输入的密码的哈希值,将其与存储在存储装置14中的密码哈希进行比较。基于比较的结果,如果所输入的密码的哈希值与存储在存储装置14中的密码哈希一致,则允许登录,在不一致的情况下拒绝登录。
另外,用户终端10的OS,随着用户使用用户终端(系统)10,在存储装置14中存储系统的记录。在系统的记录中,保存有用户的登录履历、用户的操作履历、系统的处理及通信履历等。另外,在本实施方式的用户终端10中,作为系统的记录,存储(蓄积)有输入错误密码(登录失败)信息。
进而,存储装置14中还存储有由代理软件管理的诊断结果及结果缓存文件(Cache File)。执行代理软件的用户终端10按照每个用户或每个系统,将后述的密码诊断处理的结果存储(蓄积)在存储装置14中。另外,执行代理软件的用户终端10将每个用户或每个系统的最后的(上一次的)密码诊断结果作为结果缓存而保存在存储装置14中的结果缓存文件中。在本实施方式中,在结果缓存中,包括表示最后结束的密码诊断的时刻的上一次时刻信息,以及最后结束的密码诊断的诊断结果(上一次诊断结果)。由于有时在系统中设有多个用户账号,因此结果缓存文件能够含有每个用户的多个结果缓存。
此外,在本实施方式中说明以下的情况,即,结果缓存被保存在作为文件系统上的文件的结果缓存文件中。但结果缓存也可以保存在除了文件系统中的文件以外的其它地址中,例如保存在存储器中的区域或注册表或远程连接的存储装置等中。
在本实施方式中,管理服务器30与用户终端10同样地,是由CPU31和RAM33、ROM32、HDD等的存储装置34以及通信单元(NIC)35等相互连接构成的计算机。
在管理服务器30的存储装置34中,保存有策略(policy)和各用户终端10的诊断结果。在此,策略是指,表示管理服务器30通过代理软件等对用户终端10应用的用户终端10的管理方针的信息。在策略中包括与用户终端10的管理相关的各种方针,例如:应该对用户终端10的系统设定的内容,应该在用户终端10中运行的软件的指定以及该软件的设定内容等。在此,在本实施方式中,可以在策略中指定在用户终端10中应该用于密码诊断的容易推测的密码。如果在策略中指定了应该用于密码诊断的容易推测的密码,则用户终端10在后述的密码诊断处理中,从管理服务器30取得用于密码尝试的密码的至少一部分,由此进行准备。
另外,管理服务器30将从用户终端10发送来的诊断结果(参照后述的 步骤S109)与诊断结果所涉及的用户信息对应关联后存储在存储装置34中。管理员利用管理员终端90来与管理服务器30连接,能够通过管理服务器30来设定用于用户终端10的管理的各种策略,以及阅览各用户终端10的诊断结果。
图2是表示本实施方式的用户终端10的功能结构的概略的图。用户终端10将存储在存储装置14中的程序读出到RAM13中,由CPU11解释及执行程序,由此发挥具有信息取得部21、判断部22、诊断部23、存储部24及通知部25的信息处理装置的功能。此外,在本实施方式中,信息处理装置所具备的各功能可以由作为通用处理器的CPU11执行,但这些功能的一部分或全部也可以通过一个或多个专用处理程序执行。
此外,在本实施方式中,针对本发明的信息处理装置所执行的处理全部由用户终端10执行的情况进行说明。但由用户终端10执行的处理的一部分也可以由管理服务器30或与用户终端10连接的其它装置执行。此时,用户终端10与管理服务器30或其它装置的组合相当于本发明的信息处理装置。
<处理的流程>
接着,利用流程图来说明本实施方式的计算机系统1所执行的处理的流程。
图3是表示本实施方式的密码诊断处理的流程的流程图。在用户终端10中,本实施方式的密码诊断处理定期开始。但密码诊断处理也可以由下述事件(契机)触发开始,这些事件是:到了预先设定的时刻,从上一次的密码诊断处理开始经过了规定时间以上的时间,用户进行了登录处理,或从管理员等(也可以是用户)接收到执行密码诊断处理的指示。这样一来,通过抑制密码诊断处理自身的执行次数,也能够减少表示密码尝试失败的系统记录。此外,本流程图所示的处理的具体内容及处理顺序是用于实施本发明的一个例子。可以根据本发明的实施方式而适当选择具体处理内容及处理顺序。
在步骤S101中,通过OS取得变更时刻信息。用户终端10的信息取得部21从系统中取得对该系统拥有账号的用户(密码诊断的对象用户)的变更时刻信息。变更时刻信息,例如是能够确定密码变更的日期及时间或日期的信息。具体来说,信息取得部21能够通过执行API、系统调用(System Call)、 分析系统的记录文件等,来取得变更时刻信息。但用于取得变更时刻信息的具体方法并不仅限于这些例子。
此外,在后述的步骤S104中,将在步骤S101中取得的变更时刻信息,作为用于决定是否需要密码尝试的基准时刻信息使用。在本流程图所示的处理中,使用变更时刻信息来作为基准时刻信息,但也可以取代变更时刻信息,取得密码输入时刻信息(登录成功时刻信息、控制台解锁(Console Unlock)时刻信息等)来作为基准时刻信息。然后,处理进入步骤S102。
在步骤S102中,判断是否存在密码诊断的对象用户的结果缓存。信息取得部21参照结果缓存文件,基于密码诊断的对象用户(在步骤S101中取得的变更时刻信息的用户)的结果缓存(具体来说,上一次时刻信息及上一次诊断结果)的有无,来判断以前是否针对该用户进行过密码诊断。在因存在对象用户的结果缓存而判断为以前针对该用户进行过密码诊断的情况下,处理进入步骤S103。另一方面,在因不存在对象用户的结果缓存而判断为针对该用户没有进行过密码诊断的情况下,处理进入步骤S106。
在步骤S103中,读出结果缓存。信息取得部21从结果缓存文件中取得密码诊断的对象用户或系统的结果缓存(上一次时刻信息及上一次诊断结果)。然后,处理进入步骤S104。
在步骤S104中,判断上一次时刻是否比变更时刻旧。判断部22对变更时刻信息所示的时刻与所取得的结果缓存所含的上一次时刻信息所示的时刻的新旧进行判断,根据判断结果,决定是否实施密码尝试。更具体来说,判断部22对在步骤S103中取得的上一次时刻信息所示的时刻与在步骤S101中取得的变更时刻信息所示的时刻进行比较,在判断为上一次时刻比变更时刻旧的情况下,处理进入步骤S106。在判断为上一次时刻不比变更时刻旧(即,上一次时刻比变更时刻新或者与变更时刻相同)的情况下,处理进入步骤S105。
此外,在步骤S101中,在取代变更时刻信息而使用密码输入时刻信息(登录成功时刻信息、控制台解锁时刻信息等)来作为基准时刻信息的情况下,判断部22对密码输入时刻信息所示的时刻与上一次时刻信息所示的时刻的新旧进行判断,根据判断结果,决定是否实施密码尝试。在判断为上一次时刻比密码输入时刻(登录成功时刻、控制台解锁时刻等)旧的情况下, 处理进入步骤S106。在判断为上一次时刻不比密码输入时刻旧的情况下,处理进入步骤S105。
在步骤S105中,将上一次诊断结果作为本次的诊断结果。在变更时刻信息不比上一次时刻信息新的情况下,这意味着上一次的密码诊断结束之后没有变更密码,仍在使用已经进行过密码诊断的密码。因此,诊断部23不执行后述的密码尝试(参照步骤S106),原样采用在步骤S103中取得的结果缓存所含的上一次诊断结果,来作为诊断结果。然后,处理进入步骤S108。
在步骤S106及步骤S107中,执行密码尝试,将密码尝试的结果作为本次的诊断结果。诊断部23对系统尝试预先准备的容易推测的密码,由此确认用户对系统设定的密码是否与容易推测的密码一致。作为输入密码进行尝试的方法,实际上有经由系统接口输入密码的方法、使用用于向系统登录的API来向系统交接密码的方法、求出与密码对应的哈希值来与从系统取得的密码哈希值进行比较的方法等。诊断部23通过使用这些方法来进行密码尝试,从而判断密码的妥当性,得出诊断结果。
即,在利用容易推测的密码进行的密码尝试成功的情况下,诊断部23判断为当前用户对系统设定的密码是容易推测的密码。此时,诊断部23输出表示“设定了不恰当的密码”的诊断结果(例如“NG”(失败))。另一方面,在利用容易推测的密码的密码尝试失败的情况下,则至少本次尝试中判断为没有使用容易推测的密码。此时,诊断部23输出表示“至少没有设定某些不恰当的密码”的诊断结果(例如,“OK”(成功))。然后,处理进入步骤S108。
另外,在一次密码诊断中,能够尝试多个容易推测的密码。但是,也可以设定一次密码诊断中的密码尝试次数的上限,或设定密码尝试处理之间的间隙。这样一来,能够避免在以下等情况下被系统注销,这些情况是指:连续输入规定次数以上的错误密码的情况,没有空开规定间隙而连续输入错误密码的情况。
在此,说明准备用于密码尝试的容易推测的密码的方法。作为容易推测的密码,例如有,与系统的用户标识符(登录ID或用户名)相同或类似的密码,只由同一种文字构成的密码,原样使用字典中存在的单词的密码,通常所用的密码等。在本实施方式中,用于执行代理软件的用户终端10利用 以下等方法准备用于密码尝试的密码来作为容易推测的密码,这些方法是:从预先造表(list up)而成的密码列表中取得的密码的方法,从系统中取得用户标识符的方法,对所取得的用户标识符实施附加文字等加工而取得密码的方法,取得由设定在管理服务器30中的策略等所指定的密码的方法。
在步骤S108中,本次的诊断时刻信息及诊断结果被保存在结果缓存文件中。存储部24根据本次的诊断时刻信息及诊断结果,来更新结果缓存文件所含的对象用户的结果缓存。在此,本次的诊断时刻信息是指本次的密码诊断的时刻信息,例如是密码尝试(步骤S106)时的时刻信息、时刻比较(步骤S104)时的时刻信息等。但在步骤S104中决定为不实施密码诊断的情况下,虽然用本次的密码诊断的时刻信息来更新结果缓存内的密码诊断的时刻信息,但结果缓存内的诊断结果仍保持为上一次诊断结果。这是由于,在步骤S105中,原样采用上一次诊断结果来作为诊断结果。
另外,在本次的密码诊断是与对象用户相关的初次密码诊断的情况下,在结果缓存文件中不存在对象用户的结果缓存。因此,在结束了与对象用户相关的初次密码诊断的情况下,在结果缓存文件中追加该用户的结果缓存。然后,处理进入步骤S109。
此外,在步骤S108中保存的诊断结果及密码诊断的时刻信息,在下一次的密码诊断处理中被作为上一次诊断结果及上一次时刻信息而从结果缓存文件中读出(步骤S103)。
在步骤S109中,向管理服务器30通知诊断结果。通知部25对管理服务器30发送包含本次诊断时刻信息及诊断结果的本次密码诊断的结果。管理服务器30如果接收到由通知部25发送来的密码诊断的结果,则将其与诊断结果的用户信息相对应关联后存储(蓄积)在存储装置34中。然后,本流程图所示的处理结束。
在本实施方式的计算机系统1中,通过以上的处理,能够实现密码比较次数少的有效的密码诊断。密码诊断系统的诊断结果能够用于对用户显示警告消息,以及用于生成以系统管理员为对象的总结报告。因此,本实施方式的计算机系统1能够提高计算机系统1的整体安全性。
<变形例>
此外,在图3的流程图所示的处理中,说明了使用密码变更时刻、密码 的输入时刻(登录成功时刻、控制台解锁时刻等)来作为用于判断是否需要密码尝试的基准时刻的例子,但也可以使用从系统取得的当前时刻来作为基准时刻。
图4是表示本实施方式的密码诊断处理的迁移的流程图。可以执行本流程图所示的密码诊断处理,来取代图3所示的密码诊断处理。用于执行密码诊断处理的触发事件是已利用图3说明的事件。此外,本流程图所示的处理的具体内容及处理顺序是用于实施本发明的一个例子。可以根据本发明的实施方式而适当选择具体处理内容及处理顺序。
在步骤S201中,通过OS取得当前时刻信息。用户终端10的信息取得部21从系统取得当前时刻信息。当前时刻信息,例如可以是在本流程图所示的密码诊断处理开始的时刻从用户终端10的内部时钟取得的时刻信息,也可以是在其前后取得的时刻信息。然后,处理进入步骤S202。
步骤S202及步骤S203所示的处理与利用图3进行了上述说明的步骤S102及步骤S103的处理大致相同,因此省略说明。然后,处理进入步骤S204。
在步骤S204中,判断上一次时刻是否比当前时刻旧了规定时间(例如一周)以上。判断部22判断当前时刻信息所示的时刻是否是从上一次时刻信息所示的时刻开始经过了规定时间以上,根据判断结果,来决定是否实施密码尝试。
在此,对于“规定时间”,可以由用户对用户终端10的代理软件进行设定,也可以由管理员通过管理员终端90对管理服务器30进行设定,也可以作为策略保存。在管理服务器30中设定了规定时间的情况下,用户终端10在步骤S204所示的处理之前,从管理服务器30取得规定时间。基于判断的结果,在判断为上一次时刻比当前时刻旧了规定时间以上的情况下,处理进入步骤S206。在判断为上一次时刻没有比当前时刻旧了规定时间以上(即,从上一次时刻开始到当前时刻为止的期间,没有经过(超过)规定时间)的情况下,处理进入步骤S205。
步骤S205及其以后的处理与利用图3说明的步骤S105及其以后的处理大致相同,因此省略说明。通过本流程图所示的处理,能够与有无变更密码无关地,在从上一次诊断开始经过了规定时间的情况下,使上一次的诊断结果无效,而重新进行密码诊断。
另外,也可以组合使用密码变更时刻、密码的输入时刻(登录成功时刻、控制台解锁时刻等)与当前时刻,来作为用于判断是否需要密码尝试的基准时刻。
图5是表示本实施方式的密码诊断处理的迁移的流程图。可以执行本流程图所示的密码诊断处理,来取代图3所示的密码诊断处理。用于执行密码诊断处理的触发事件是利用图3说明的事件此外,本流程图所示的处理的具体内容及处理顺序是用于实施本发明的一个例子。可以根据本发明的实施方式而适当选择具体处理内容及处理顺序。
在步骤S301中,通过OS取得变更时刻信息及当前时刻信息。信息取得部21取得变更时刻信息及当前时刻信息的具体方法与利用图3及图4说明的方法大致相同,因此省略说明。然后,处理进入步骤S302。
步骤S302及步骤S303所示的处理与利用图3进行了上述说明的步骤S102及步骤S103的处理大致相同,因此省略说明。然后,处理进入步骤S304。
在步骤S304中,判断上一次时刻是否比变更时刻旧,或是否比当前时刻旧了规定时间(例如一周)以上。判断部22判断上一次时刻是否比变更时刻旧,进而判断当前时刻信息所示的时刻是否为从上一次时刻信息所示的时刻开始经过了规定时间以上。基于判断的结果,在符合任意一个上述条件的情况下,判断部22决定为实施密码尝试。
即,通过本流程图所示的处理,在上一次密码诊断之后变更了密码,或者从上一次的密码诊断开始经过了规定时间的情况下,实施密码尝试。通过这样设置判断条件,在变更了密码的情况下能够无延迟地进行密码诊断,在变更密码没有经过规定时间以上的情况下,能够使上一次的诊断结果无效,重新进行密码诊断。基于判断的结果,在判断为符合任意一个上述条件的情况下,处理进入步骤S306。在判断为哪个条件都不符合的情况下,处理进入步骤S305。
步骤S305及其以后的处理与利用图3说明的步骤S105及其以后的处理大致相同,因此省略说明。通过本流程图所示的处理,能够在符合多个条件中的任意一个条件的情况下执行密码尝试,能够确保计算机系统1的状态更安全。
另外,在利用图5的流程图说明的密码诊断处理中,在符合多个条件中 的任意一个条件的情况下,实施密码尝试,但也可以取代这样的条件判断,而在符合多个条件的情况下实施密码尝试。例如,在上一次时刻比变更时刻旧,并且比当前时刻旧了规定时间(例如一周)以上的情况下,进行密码尝试,由此,能够减少密码诊断的频度,能够进一步减低漏掉恶意密码分析行为的可能性。
Claims (5)
1.一种信息处理装置,其特征在于,
具有:
诊断单元,其通过密码尝试来进行密码诊断,
存储单元,其存储进行所述密码诊断的时刻,
信息取得单元,其取得由所述存储单元存储的上一次密码诊断的时刻来作为上一次时刻,还取得用于判断是否需要进行密码诊断的基准时刻,
判断单元,其判断所述上一次时刻是否符合以所述基准时刻为基准的规定条件;
所述基准时刻,是与密码变更时刻或密码输入时刻中的至少一个时刻相组合使用的当前时刻;
在所述判断单元判断为所述上一次时刻符合以所述基准时刻为基准的规定条件的情况下,所述诊断单元进行所述密码诊断,在所述判断单元判断为所述上一次时刻不符合以所述基准时刻为基准的规定条件的情况下,所述诊断单元采用上一次密码诊断的诊断结果来作为本次密码诊断的诊断结果。
2.根据权利要求1记载的信息处理装置,其特征在于,
所述基准时刻是密码变更时刻;
在上一次时刻比密码变更时刻旧的情况下,所述诊断单元进行密码诊断。
3.根据权利要求1记载的信息处理装置,其特征在于,
所述基准时刻是当前时刻;
在上一次时刻比当前时刻旧了规定时间以上的情况下,所述诊断单元进行密码诊断。
4.根据权利要求1记载的信息处理装置,其特征在于,
所述基准时刻是密码变更时刻及当前时刻;
在上一次时刻比密码变更时刻旧或者比当前时刻旧了规定时间以上的情况下,所述诊断单元进行密码诊断。
5.一种密码诊断方法,其特征在于,
使计算机执行以下的步骤:
诊断步骤,通过密码尝试来进行密码诊断,
存储步骤,存储进行所述密码诊断的时刻,
信息取得步骤,取得在所述存储步骤中所存储的上一次密码诊断的时刻来作为上一次时刻,还取得用于判断是否需要进行密码诊断的基准时刻,
判断步骤,判断所述上一次时刻是否符合以所述基准时刻为基准的规定条件;
所述基准时刻,是与密码变更时刻或密码输入时刻中的至少一个时刻相组合使用的当前时刻;
在所述判断步骤中判断为所述上一次时刻符合以所述基准时刻为基准的规定条件的情况下,在所述诊断步骤中进行所述密码诊断,在所述判断步骤中判断为所述上一次时刻不符合以所述基准时刻为基准的规定条件的情况下,在所述诊断步骤中采用上一次密码诊断的诊断结果来作为本次密码诊断的诊断结果。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010219455A JP5581162B2 (ja) | 2010-09-29 | 2010-09-29 | 情報処理装置、パスワード診断方法およびプログラム |
JP2010-219455 | 2010-09-29 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102436567A CN102436567A (zh) | 2012-05-02 |
CN102436567B true CN102436567B (zh) | 2015-05-20 |
Family
ID=45872079
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110290699.6A Active CN102436567B (zh) | 2010-09-29 | 2011-09-22 | 信息处理装置及密码诊断方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20120079573A1 (zh) |
JP (1) | JP5581162B2 (zh) |
CN (1) | CN102436567B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8640212B2 (en) * | 2010-05-27 | 2014-01-28 | Red Hat, Inc. | Securing passwords with CAPTCHA based hash when used over the web |
KR101436494B1 (ko) * | 2013-03-07 | 2014-09-01 | 주식회사 안랩 | 악성코드 검사 시스템 및 악성코드 검사 방법 |
JP5842981B2 (ja) * | 2013-12-09 | 2016-01-13 | キヤノンマーケティングジャパン株式会社 | 情報処理装置、情報処理方法、プログラム |
JP6324344B2 (ja) * | 2015-04-21 | 2018-05-16 | 日本電信電話株式会社 | アクセス権限情報管理システム、端末機器及びアクセス権限情報管理方法 |
JPWO2017149779A1 (ja) * | 2016-03-04 | 2018-08-02 | 株式会社オプティム | 機器監視システム、機器監視方法及びプログラム |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2596361B2 (ja) * | 1993-12-24 | 1997-04-02 | 日本電気株式会社 | パスワード更新方式 |
US7685431B1 (en) * | 2000-03-20 | 2010-03-23 | Netscape Communications Corporation | System and method for determining relative strength and crackability of a user's security password in real time |
JP4254988B2 (ja) * | 2001-03-16 | 2009-04-15 | 株式会社日立製作所 | セキュリティ診断システムおよびセキュリティ診断方法 |
US6895383B2 (en) * | 2001-03-29 | 2005-05-17 | Accenture Sas | Overall risk in a system |
JP2003203051A (ja) * | 2002-01-07 | 2003-07-18 | Yamatake Corp | セキュリティ対策実行装置及びその方法と、セキュリティ対策実行プログラム及びそのプログラムを記録した記録媒体 |
JP2003256369A (ja) * | 2002-01-07 | 2003-09-12 | Yamatake Corp | セキュリティ対策効果出力装置及びその方法と、セキュリティ対策効果出力プログラム及びそのプログラムを記録した記録媒体 |
US7367053B2 (en) * | 2002-10-11 | 2008-04-29 | Yamatake Corporation | Password strength checking method and apparatus and program and recording medium thereof, password creation assisting method and program thereof, and password creating method and program thereof |
US7299359B2 (en) * | 2003-04-23 | 2007-11-20 | Apple Inc. | Apparatus and method for indicating password quality and variety |
US7530097B2 (en) * | 2003-06-05 | 2009-05-05 | International Business Machines Corporation | Methods, systems, and computer program products that centrally manage password policies |
US20050027713A1 (en) * | 2003-08-01 | 2005-02-03 | Kim Cameron | Administrative reset of multiple passwords |
US20060021047A1 (en) * | 2004-07-22 | 2006-01-26 | Cook Chad L | Techniques for determining network security using time based indications |
JP2006099356A (ja) * | 2004-09-29 | 2006-04-13 | Fuji Xerox Co Ltd | パスワード管理用コンピュータプログラムならびに情報処理システムおよびそのパスワード管理装置および方法 |
US8108932B2 (en) * | 2008-06-12 | 2012-01-31 | International Business Machines Corporation | Calculating a password strength score based upon character proximity and relative position upon an input device |
US8370925B2 (en) * | 2008-07-29 | 2013-02-05 | International Business Machines Corporation | User policy manageable strength-based password aging |
US8607330B2 (en) * | 2010-09-03 | 2013-12-10 | International Business Machines Corporation | Orderly change between new and old passwords |
-
2010
- 2010-09-29 JP JP2010219455A patent/JP5581162B2/ja active Active
-
2011
- 2011-09-01 US US13/223,671 patent/US20120079573A1/en not_active Abandoned
- 2011-09-22 CN CN201110290699.6A patent/CN102436567B/zh active Active
Non-Patent Citations (1)
Title |
---|
Vijaya MS,et al..Password Strength Prediction using Supervised Machine Learning Techniques.《2009 International Conference on advances in Computing,Control,and telecommunication Technologies》.2009,全文. * |
Also Published As
Publication number | Publication date |
---|---|
US20120079573A1 (en) | 2012-03-29 |
JP2012073904A (ja) | 2012-04-12 |
JP5581162B2 (ja) | 2014-08-27 |
CN102436567A (zh) | 2012-05-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1542426B1 (en) | Security-related programming interface | |
CN102436567B (zh) | 信息处理装置及密码诊断方法 | |
CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
EP3270318B1 (en) | Dynamic security module terminal device and method for operating same | |
CN108334404B (zh) | 应用程序的运行方法和装置 | |
CN110688653A (zh) | 客户端的安全防护方法及装置、终端设备 | |
CN112651001A (zh) | 访问请求的鉴权方法、装置、设备及可读存储介质 | |
CN114389882B (zh) | 网关流量控制方法、装置、计算机设备及存储介质 | |
CN111813627A (zh) | 应用审计方法、装置、终端、系统及可读存储介质 | |
CN109831521B (zh) | 缓存实例管理方法、装置、计算机设备和存储介质 | |
CN108494749B (zh) | Ip地址禁用的方法、装置、设备及计算机可读存储介质 | |
RU2573783C1 (ru) | Система и способ изменения функционала приложения | |
CN112202711B (zh) | 终端的网络访问控制方法、装置、电子设备及存储介质 | |
CN106911680B (zh) | 一种策略下发方法及装置 | |
CN115809118A (zh) | 一种java进程动态防护方法、装置、设备及介质 | |
JP2010044656A (ja) | 情報処理端末および管理サーバ | |
CN111008345B (zh) | 一种访问定点访问url的方法及系统 | |
CN114386047A (zh) | 应用漏洞检测方法、装置、电子设备及存储介质 | |
CN114048443A (zh) | 用户身份的验证方法、装置及计算机存储介质 | |
CN113742681A (zh) | 一种账户管理方法、装置、计算机设备和存储介质 | |
CN111291380A (zh) | 一种命令行加固方法、系统、终端及存储介质 | |
CN103914352B (zh) | 云集群系统中寄存器数据的修复方法及装置 | |
CN109460654A (zh) | 业务控制方法、业务控制系统、服务器及计算机存储介质 | |
JP7255681B2 (ja) | 実行制御システム、実行制御方法、及びプログラム | |
CN104348795B (zh) | 通用网关接口业务入侵防护的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |