CN106330972A - 一种保护用户网站密码的方法 - Google Patents
一种保护用户网站密码的方法 Download PDFInfo
- Publication number
- CN106330972A CN106330972A CN201610952061.7A CN201610952061A CN106330972A CN 106330972 A CN106330972 A CN 106330972A CN 201610952061 A CN201610952061 A CN 201610952061A CN 106330972 A CN106330972 A CN 106330972A
- Authority
- CN
- China
- Prior art keywords
- password
- website
- user
- input
- page
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
Abstract
本发明公开了一种保护用户网站密码的方法,包括以下步骤:用户输入密码的页面,网站通过HTML语言的<script>标签引入Javascript脚本文件;在页面里包含密码输入框的<Form>元素内,通过隐藏的<INPUT>元素指定本Form内用户名输入框、密码输入框的名称和网站自定义的一个ID;用户输入密码,点击“提交”后,在把表单数据提交到网站服务器前,页面调用函数;所述函数通过单向算法把用户名、密码和网站ID转换成一个复杂密码,并替换输入的密码;数据提交到网站服务器。本发明方法在完全不影响用户体验的情况下,实现了高强度的密码保护方案,有效防范了用户账号泄露和撞库风险,保护了用户账号和资产安全。
Description
技术领域
本发明涉及网站密码保护领域,具体涉及一种保护用户网站密码的方法。
背景技术
近年来,因为网站被拖库导致的大规模用户账户泄露事件愈演愈烈。例如最近的Dropbox6000万账户泄露和Yahoo的5亿账户泄露,网站用户对此无能为力,只能寄希望于网站做好安全防范避免泄露。但是,没有100%安全的网站,任何网站都有泄露账号的风险。一旦账号泄露,因为大多数用户习惯在不同网站使用相同的账号/密码,导致用户在所有网站的账号都面临被撞库(指用户在A网站的账号泄露后,被黑客账号信息去B网站尝试登录。如果用户在A,B两个网站的账号一致,则黑客能成功登录B网站,称为撞库成功)风险,已经有不少给用户带来实际经济损失的案例。
一些专门的密码管理软件被用来解决密码泄露问题,例如1Password软件。它们的共同做法是软件内部维护一个密码数据库,典型的用户使用场景是:1、用户为每个网站的账户,通过软件生成一个随机密码;2、设置/修改网站账号的密码为软件生成的随机密码;3、登录网站时,查询软件找到在该网站的密码,然后拷贝和粘贴到登录页面的密码输入框。密码管理软件有很多明显的缺点:1、密码是随机生成的,用户很难记住,特别是在有大量网站账号的情况下,一旦软件不可用(如不在手边或数据损坏),用户将无法登录网站;2、使用不方便,用户在登录时,需要打开密码管理软件查询密码。
总之,如何保护用户的密码安全,做到即使某个网站的账号泄露,也不影响用户在该网站和其它网站的账号安全,是个急需解决的重要问题。
发明内容
本发明所要解决的技术问题是提供一种保护用户网站密码的方法,保护用户的密码安全,有效防范撞库风险,也不影响用户体验,方便用户操作。
为解决上述技术问题,本发明采用的技术方案是:
一种保护用户网站密码的方法,包括以下步骤:
步骤1:在用户输入密码的页面,网站通过HTML语言的<SCRIPT>标签引入Javascript脚本文件,所述脚本文件提供一个函数供页面调用;
步骤2:在页面里包含密码输入框的<Form>元素内,通过<INPUT type=“hidden”>标签指定本Form内用户名输入框、密码输入框的名称和网站自定义ID,网站自定义ID用于和其他网站区分开;
步骤3:用户输入密码,点击“提交”后,在把表单数据提交到网站服务器前,页面调用步骤1所述函数;
步骤4:步骤1所述函数获取Form内用户输入的用户名、密码和网站指定的网站ID;
步骤5:步骤1所述函数通过单向算法把用户名、密码和网站ID转换成一个复杂密码,并用这个密码替换密码输入框里用户输入的密码;
步骤6:包括用户名和替换后密码的表单数据被提交到网站服务器,若是账号注册操作,网站存储账号信息到数据库,若是用户登录操作,网站比对提交过来的密码和数据库里存储的密码,判断是否一致。
进一步的,所述单向算法为HMAC。
进一步的,还包括增加单向算法的计算量。
与现有技术相比,本发明的有益效果是:在完全不影响用户体验的情况下,实现了高强度的密码保护方案,有效防范了用户账号泄露和撞库风险,保护了用户账号和资产安全。
具体实施方式
本发明在具体实施步骤为:
1、在需要用户输入密码的页面,网站都通过HTML语言的<SCRIPT>标签引入一个Javascript脚本文件,该脚本文件提供一个函数供页面调用,所述函数命名为encrypt_passwor。
2、在页面里包含密码输入框的<Form>元素内,通过<INPUT type=”hidden”>标签指定本Form内用户名输入框、密码输入框的名称和网站自定义的一个ID;其中网站自定义ID用于和其它网站区分开,可以是本网站的域名,例如“www.example.com”。
3、用户输入密码,点击“提交”按钮后,页面在把表单数据提交到网站服务器前,调用encrypt_password函数。
4、encrypt_password函数获取Form内用户输入的用户名、密码和网站指定的网站ID。
5、encrypt_password函数通过单向算法(例如HMAC,HMAC是密钥相关的哈希运算消息认证码,即Hash-based Message Authentication Code)把用户名、密码、网站ID转换成一个复杂密码,并用这个密码替换密码输入框里用户输入的密码。
6、数据(包括用户名和替换后密码的表单数据)被提交到网站服务器。如果是账号注册操作,网站存储账号信息到数据库;如果是用户登录操作,网站比对提交过来的密码和数据库里存储的密码,判断是否一致。
在Javascript代码里的encrypt_password函数中,可以增加单向算法的计算量,例如反复进行几万次单向变换,增加攻击者撞库的难度。以HMAC算法为例:
1)new_password=HMAC(username+old_password,ID)
2)old_password=new_password
3)如果循环次数<10000,goto 1,循环次数由网站随机定义。
Claims (3)
1.一种保护用户网站密码的方法,其特征在于,包括以下步骤:
步骤1:在用户输入密码的页面,网站通过HTML语言的<SCRIPT>标签引入Javascript脚本文件,所述脚本文件提供一个函数供页面调用;
步骤2:在页面里包含密码输入框的<Form>元素内,通过<INPUT type=“hidden”>标签指定本Form内用户名输入框、密码输入框的名称和网站自定义ID,网站自定义ID用于和其他网站区分开;
步骤3:用户输入密码,点击“提交”后,在把表单数据提交到网站服务器前,页面调用步骤1所述函数;
步骤4:步骤1所述函数获取Form内用户输入的用户名、密码和网站指定的网站ID;
步骤5:步骤1所述函数通过单向算法把用户名、密码和网站ID转换成一个复杂密码,并用这个密码替换密码输入框里用户输入的密码;
步骤6:包括用户名和替换后密码的表单数据被提交到网站服务器,若是账号注册操作,网站存储账号信息到数据库,若是用户登录操作,网站比对提交过来的密码和数据库里存储的密码,判断是否一致。
2.如权利要求1所述的一种保护用户网站密码的方法,其特征在于,所述单向算法为HMAC。
3.如权利要求1或2所述的一种保护用户网站密码的方法,其特征在于,还包括增加单向算法的计算量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610952061.7A CN106330972A (zh) | 2016-10-27 | 2016-10-27 | 一种保护用户网站密码的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610952061.7A CN106330972A (zh) | 2016-10-27 | 2016-10-27 | 一种保护用户网站密码的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106330972A true CN106330972A (zh) | 2017-01-11 |
Family
ID=57819506
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610952061.7A Pending CN106330972A (zh) | 2016-10-27 | 2016-10-27 | 一种保护用户网站密码的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106330972A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107332837A (zh) * | 2017-06-28 | 2017-11-07 | 青岛科技大学 | 一种基于页面地址的口令生成及填充方法 |
| CN110084031A (zh) * | 2019-04-24 | 2019-08-02 | 四川吉赛特科技有限公司 | 一种认证逻辑可自定义的信息系统账号安全认证平台 |
| CN112261005A (zh) * | 2020-09-27 | 2021-01-22 | 中孚安全技术有限公司 | 一种Web安全登录密码的隐藏方法及系统 |
| CN112632584A (zh) * | 2020-12-30 | 2021-04-09 | 绿盟科技集团股份有限公司 | 一种网页密码的存储方法及装置 |
| CN115632892A (zh) * | 2022-12-23 | 2023-01-20 | 北京景安云信科技有限公司 | 基于代理对oracle10g认证过程中用户名和密码替换的方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588348A (zh) * | 2008-05-22 | 2009-11-25 | 中国电信股份有限公司 | 一种基于Web的系统登录方法和装置 |
| CN102880484A (zh) * | 2012-08-30 | 2013-01-16 | 深圳市永盛世纪科技有限公司 | 一种在智能设备上进行软件登录窗口的启动注册、特征提取、登录信息绑定的方法和系统 |
| CN102984260A (zh) * | 2012-11-29 | 2013-03-20 | 胡浩 | 一种互联网帐号和密码的信息管理方法及系统 |
| CN103780379A (zh) * | 2012-10-19 | 2014-05-07 | 阿里巴巴集团控股有限公司 | 密码加密方法和系统以及密码校验方法和系统 |
| US20150381367A1 (en) * | 2014-06-26 | 2015-12-31 | Comcast Cable Communications, Llc | Secure Router Authentication |
| CN105897412A (zh) * | 2015-12-15 | 2016-08-24 | 乐视网信息技术(北京)股份有限公司 | 一种网站密码生成方法及装置 |
-
2016
- 2016-10-27 CN CN201610952061.7A patent/CN106330972A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588348A (zh) * | 2008-05-22 | 2009-11-25 | 中国电信股份有限公司 | 一种基于Web的系统登录方法和装置 |
| CN102880484A (zh) * | 2012-08-30 | 2013-01-16 | 深圳市永盛世纪科技有限公司 | 一种在智能设备上进行软件登录窗口的启动注册、特征提取、登录信息绑定的方法和系统 |
| CN103780379A (zh) * | 2012-10-19 | 2014-05-07 | 阿里巴巴集团控股有限公司 | 密码加密方法和系统以及密码校验方法和系统 |
| CN102984260A (zh) * | 2012-11-29 | 2013-03-20 | 胡浩 | 一种互联网帐号和密码的信息管理方法及系统 |
| US20150381367A1 (en) * | 2014-06-26 | 2015-12-31 | Comcast Cable Communications, Llc | Secure Router Authentication |
| CN105897412A (zh) * | 2015-12-15 | 2016-08-24 | 乐视网信息技术(北京)股份有限公司 | 一种网站密码生成方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107332837A (zh) * | 2017-06-28 | 2017-11-07 | 青岛科技大学 | 一种基于页面地址的口令生成及填充方法 |
| CN110084031A (zh) * | 2019-04-24 | 2019-08-02 | 四川吉赛特科技有限公司 | 一种认证逻辑可自定义的信息系统账号安全认证平台 |
| CN110084031B (zh) * | 2019-04-24 | 2022-10-14 | 四川吉赛特科技有限公司 | 一种认证逻辑可自定义的信息系统账号安全认证的方法 |
| CN112261005A (zh) * | 2020-09-27 | 2021-01-22 | 中孚安全技术有限公司 | 一种Web安全登录密码的隐藏方法及系统 |
| CN112632584A (zh) * | 2020-12-30 | 2021-04-09 | 绿盟科技集团股份有限公司 | 一种网页密码的存储方法及装置 |
| CN115632892A (zh) * | 2022-12-23 | 2023-01-20 | 北京景安云信科技有限公司 | 基于代理对oracle10g认证过程中用户名和密码替换的方法 |
| CN115632892B (zh) * | 2022-12-23 | 2023-03-10 | 北京景安云信科技有限公司 | 基于代理对oracle10g认证过程中用户名和密码替换的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11928245B2 (en) | Systems and methods of determining compromised identity information | |
| CN106330972A (zh) | 一种保护用户网站密码的方法 | |
| US10122830B2 (en) | Validation associated with a form | |
| Almeshekah et al. | Ersatzpasswords: Ending password cracking and detecting password leakage | |
| Palaniappan et al. | Secure user authentication using honeywords | |
| Stock et al. | Protecting users against XSS-based password manager abuse | |
| US20120260108A1 (en) | Font encryption and decryption system and method | |
| CN105610810A (zh) | 一种数据处理方法、客户端和服务器 | |
| CN101816148A (zh) | 用于验证、数据传送和防御网络钓鱼的系统和方法 | |
| CN105743905B (zh) | 一种实现安全登录的方法、设备、装置及系统 | |
| CN110032862B (zh) | 一种防撞库攻击的数据动态防护方法及装置 | |
| Sarkar et al. | Cyber security password policy for industrial control networks | |
| Gonzalez et al. | Automated password extraction attack on modern password managers | |
| CN102307181B (zh) | 一种防止针对动态密码的钓鱼攻击的方法 | |
| Wong et al. | PhishClone: Measuring the Efficacy of Cloning Evasion Attacks | |
| Navarro et al. | Identity theft and social networks | |
| Gutierrez et al. | Inhibiting and detecting offline password cracking using ErsatzPasswords | |
| De Villiers Minnaar | The scourge of ransomware: the cybercrime growth industry of the early 2020s | |
| Minnaar | The Scourge of Ransomware: The Cybercrime Growth Industry of the Early 2020s | |
| US11741200B2 (en) | Systems and methods for protection against theft of user credentials | |
| Dumada et al. | Cyber Security Purity in 2021 and Afar Tips for Businesses | |
| CN108429757A (zh) | 一种保护网站资源的反爬方法 | |
| US20220210187A1 (en) | Systems and methods for protection against theft of user credentials | |
| Biocco et al. | Grid framework to address password memorability issues and offline password attacks | |
| Kushwaha et al. | A Survey on Malware & Session Hijack Attack over WebEnvironments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170111 |
|
| RJ01 | Rejection of invention patent application after publication |