CN108429758A - 一种密码验证方法和系统 - Google Patents
一种密码验证方法和系统 Download PDFInfo
- Publication number
- CN108429758A CN108429758A CN201810259171.4A CN201810259171A CN108429758A CN 108429758 A CN108429758 A CN 108429758A CN 201810259171 A CN201810259171 A CN 201810259171A CN 108429758 A CN108429758 A CN 108429758A
- Authority
- CN
- China
- Prior art keywords
- password
- user
- account
- authentification
- password authentification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供一种密码验证方法和系统,具体的说是一种“登录账号允许修改、多个密码同时提交验证、基于一定概率触发的一段时间内停用密码验证、输入密码与真实密码匹配指定范围个数字符时一段时间内停用密码验证、记录及统计密码验证失败信息”中任意一项或多项组合技术的密码验证方法和系统。本发明有效的防范了非法用户破解账户密码的情况,提高账户安全性的同时也不会降低用户体验度。
Description
技术领域
本发明涉及一种密码验证方法和系统,尤其是一种“登录账号允许修改、多个密码同时提交验证、基于一定概率触发的一段时间内停用密码验证、输入密码与真实密码匹配指定范围个数字符时一段时间内停用密码验证、记录及统计密码验证失败信息”中任意一项或多项组合技术的密码验证方法和系统。
背景技术
现有密码验证方法有密码验证失败连续几次时通知用户一段时间内停用密码验证,停用密码验证期间用户可以通过手机校验码等方式重置密码。例如支付宝登录密码验证失败连续5次时账户将被锁定3小时,锁定期间可以通过手机校验码方式重置登录密码;支付宝支付密码验证失败连续3次时账户将被锁定3小时,锁定期间可以通过手机校验码+身份证号方式重置支付密码。
其方法缺点是非法用户对某账户尝试几次密码验证就可以使其一段时间内停用密码验证,导致其账户真实用户进行密码验证时需等待一段时间或通过手机校验码方式重置密码提高了操作复杂度。如果非法用户通过上述方式攻击了大量账户,将会对系统照成不好的用户体验和发送大量短信增加了运营成本。如果非法用户通过某些途径获取了个别用户的手机及身份证号,用户个人信息及财产将会面临损失风险。即非法破坏低成本,安全防范高成本。
另外,现有方法只保存用户登录成功记录,例如招商银行APP的登录日志功能。其缺点是账户被非法用户多次尝试输入密码攻击时真实用户无法获知其过程,等到真实用户发现非法用户登录成功后再采取防范措施为时已晚。
发明内容
为了克服现有技术中非法用户攻击行为对系统照成不好的用户体验和发送短信带来的运营成本,更为防范因用户手机丢失及身份证号泄露导致个人信息及财产损失风险,和账户被攻击而无法获知过程的情况,本发明提供一种“登录账号允许修改、多个密码同时提交验证、基于一定概率触发的一段时间内停用密码验证、输入密码与真实密码匹配指定范围个数字符时一段时间内停用密码验证、记录及统计密码验证失败信息”中任意一项或多项组合技术的密码验证方法和系统。
本发明解决其技术问题所采用的技术方案是:
一种密码验证方法和系统,共包括5项技术,其中任意一项或多项组合技术均可构成一个技术方案,下面分别对5项技术作说明:
技术1(登录账号允许修改):账户信息包括(不限于)“用户账号”、“登录账号”、“第一密码”字段。其中,“用户账号”字段是用户身份标识,不参与密码验证或仅能参与预设连续失败次数内的密码验证,可以通过查找好友、查看个人或好友资料等方式看到,作用等效于QQ号;“登录账号”字段是用户进行密码验证时的用户身份标识,包含但不限于登录场景使用,用户只能查看、修改自己的登录账号,用户可以对其进行修改(及检测与其它用户的登录账号是否重复)并经密码验证成功后保存,下次进行密码验证时将需输入新登录账号,作用等效于“用户名+密码”验证模式中的“用户名”;“第一密码”字段是用户进行密码验证时的密码,作用等效于上述“用户名+密码”验证模式中的“密码”或其它具有密码作用的验证方式(例如手机效验码)。上述用户身份标识的值具有唯一性(不重复)。密码验证方式为登录账号(或用户账号)+第一密码。
另外,上述登录账号也可以有多个,设定当第一登录账号进行密码验证失败连续多少次后,停用第一登录账号并启用第二登录账号进行密码验证,只有第二登录账号进行密码验证成功后才能进入系统,重置第一登录账号为启用状态和第二登录账号为停用状态。还可以使用更多的登录账号项参照上述方式进行密码验证,例如第三登录账号。
技术1的有益效果是登录账号仅用户自己可见可以提高账户的安全性,当发现非法用户尝试攻击账户时,通过修改登录账号便可使其失去目标,从而禁止其行为。
技术2(多个密码同时提交验证):当使用“登录账号”+“第一密码”字段进行密码验证失败连续d1次及以上时,启用保护模式。上述保护模式是指增加一个密码字段,后续使用“登录账号”+“第一密码”+“第二密码”字段同时提交到服务端进行密码验证,只有“第一密码”和“第二密码”都匹配成功时才返回验证成功。登录成功后重置d1计数为0。还可以使用更多的密码字段增强密码验证,例如“第三密码”字段(注意:以上本技术中带有“字母+数字”参数均可由用户或系统设定及生成)。
技术2的有益效果是指数级增强了暴力破解难度,暴力破解指穷举法,暴力破解成功的最大尝试次数的计算公式为:(F^L)^P,其中,^代表乘方;F代表字符个数(例如0至9共10个字符);L代表字符位数(例如密码只允许6位数字);P代表密码个数(例如上述保护模式中需输入2个密码)。
技术3(基于一定概率触发的一段时间内停用密码验证):设定密码验证失败连续d1次及以上时,系统生成一个1至m1(m1为设定的最大数字)之间的随机数s1,当s1=1时,一段时间内t1停用密码验证并返回密码验证失败消息(非法用户无法获知密码验证是否停用,真实用户通过输入正确密码可以猜到)。登录成功后重置d1计数为0(注意:以上本技术中带有“字母+数字”参数均可由用户或系统设定及生成)。
技术3的有益效果是当非法用户对某账户进行暴力破解时,由于不确定尝试验证失败多少次时会使密码验证停用及停用多少时间,导致其做无用功和短时间内无法破解。当真实用户发现账户处于密码验证停用时,通过修改密码(或技术1中登录账号)即可使暴力破解行为失效。
技术4(输入密码与真实密码匹配指定范围个数字符时一段时间内停用密码验证):设定输入密码与真实密码(也可以加入多个预设的具有干扰作用的“防破解码”f1参与匹配)匹配指定范围个数字符(字符匹配个数在n1至n2之间)时,一段时间内t1停用密码验证并返回密码验证失败消息(非法用户无法获知密码验证是否停用,真实用户通过输入正确密码可以猜到)(注意:以上本技术中带有“字母+数字”参数均可由用户或系统设定及生成)。
技术4的有益效果是当非法用户对某账户进行暴力破解时,由于输入密码与真实密码的字符匹配一定个数时一段时间内密码验证停用,后续输入密码不进行密码验证直接返回密码验证失败消息,从而极大降低了密码被破解的风险。
技术5(记录及统计密码验证失败信息):每一次密码验证失败信息均会保存在系统内,用户登录系统后可以查看本账户的密码验证失败信息及统计数据,以此来判断账户安全性,并及时采取防范措施。
技术5的有益效果是用户可以监控账户是否被攻击及攻击程度,并及时采取防范措施保护账户安全。
需要注意的是:如果一个技术方案包括多项技术,上文中带有“字母+数字”参数在各技术中均可以有不同的值。
附图说明
附图说明了本发明的优选实施例,用于对本发明的技术精神进行进一步理解。因此,本发明并非仅限于附图。
图1为根据本发明的第一实施例的密码验证方法进行示意性说明的流程图。
图2为根据本发明的第二实施例的多个登录账号更换规则的密码验证方法进行示意性说明的流程图。
具体实施方式
下面参照说明书附图对本发明的密码验证方法给出优选的实施例。
实施例1:
如图1所示,用户输入登录账号[101],系统检测登录账号是否存在[102],若否,提示登录账号不存在消息[103];若是,执行下一步骤。
系统检测登录账号是否处于保护模式[201]并控制第二密码输入框的显示/隐藏,若否,用户输入第一密码[202];若是,用户输入第一密码和第二密码[203]。
用户提交后,系统检测密码验证是否处于停用状态[3401],若是,提示密码验证失败消息[3403];若否,执行下一步骤。
系统检测密码验证是否失败[204],若否,重置密码验证失败连续次数计数为0[2301],并进入系统[205];若是,记录密码验证失败信息(主要包含用户账号、登录账号、密码、验证时间,以后进入系统后可以按时间统计及查看记录)[501],密码验证失败连续次数计数自增1[2302],并执行下一步骤。
系统检测密码验证失败连续次数计数是否>=技术2保护模式中预设次数[206],若是,启用保护模式(下次进行密码验证时需输入第一密码和第二密码)[207],并执行下一步骤;若否,直接执行下一步骤。
系统检测密码验证失败连续次数计数是否>=技术3中预设次数[301],若是,生成一个1至预设数字之间的随机数[302],若上述随机数=1时[303],系统执行预设时间内停用密码验证[3402]和提示密码验证失败消息[3403],若上述随机数!=1时[303],执行下一步骤;若否,执行下一步骤。
系统检测输入密码与真实密码是否匹配预设范围个数字符[401],若是,系统执行预设时间内停用密码验证[3402]和提示密码验证失败消息[3403];若否,仅提示密码验证失败消息[3403]。
实施例2:
如图2所示,用户输入登录账号[101],系统检测登录账号是否存在[102],若否,提示登录账号不存在消息[103];若是,执行下一步骤。
系统检测登录账号是否停用[20201],若是,提示当前登录账号已停用和请使用下一登录账号进行密码验证消息[20202];若否,执行下一步骤。
系统检测密码验证是否失败[204],若否,重置密码验证失败连续次数计数为0[2301]和多个登录账号的启用/停用状态[20206],并进入系统[205];若是,密码验证失败连续次数计数自增1[2302],并执行下一步骤。
系统检测当前登录账号是否为多个登录账号中的最后一个[20203],若是,提示密码验证失败消息[3403];若否,执行下一步骤。
系统检测密码验证失败连续次数计数是否>=预设次数[20204],若否,提示密码验证失败消息[3403];若是,停用当前登录账号并启用下一登录账号[20205],提示当前登录账号已停用和请使用下一登录账号进行密码验证消息[20202]。
为了便于描述,在说明书附图和实施例中将上述5项技术作为一个整体流程的技术方案进行描述。需要注意的是:在实施本发明时可以把任意一项或多项组合技术作为一个技术方案。
上文所列的说明仅仅是针对本发明的可行性实施方式的具体说明,并非用以限制本发明的保护范围,凡未脱离本发明技术精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。
Claims (7)
1.一种密码验证方法,其特征在于,账户信息包括(不限于)用户账号、登录账号、第一密码字段,其中,用户账号是用户身份唯一标识,不参与密码验证或仅能参与预设连续失败次数内的密码验证,对其它用户可见;登录账号是用户进行密码验证时的用户身份唯一标识,用户仅能查看、修改自己的登录账号;第一密码是用户进行密码验证时的密码,密码验证方式为登录账号(或用户账号)+第一密码。
2.根据权利要求1所述的密码验证方法,其特征在于,登录账号可以有多个,其中,当前登录账号进行密码验证失败连续预设次数及以上时[20204],停用当前登录账号并启用下一登录账号进行密码验证[20205],只有下一登录账号进行密码验证成功后[204]才能进入系统[205]及重置多个登录账号的启用/停用状态[20206]。
3.一种密码验证方法,其特征在于,密码验证失败连续预设次数及以上时[206],启用保护模式[207],上述保护模式是指增加一个或多个密码项[203]并同时提交到服务端进行密码验证,只有所有密码项都匹配成功时才返回验证成功。
4.一种密码验证方法,其特征在于,密码验证失败连续预设次数及以上时[301],系统生成一个1至预设数字之间的随机数[302],当随机数=1时[303],预设时间内停用密码验证[3402]并返回密码验证失败消息[3403](非法用户无法获知密码验证是否停用,真实用户通过输入正确密码可以猜到)。
5.一种密码验证方法,其特征在于,输入密码与真实密码(也可以加入多个预设的具有干扰作用的“防破解码”参与匹配)匹配指定范围个数字符时[401],预设时间内停用密码验证[3402]并返回密码验证失败消息[3403](非法用户无法获知密码验证是否停用,真实用户通过输入正确密码可以猜到)。
6.一种密码验证方法,其特征在于,每一次密码验证失败信息均会保存在系统内[501],用户登录系统后可以查看本账户的密码验证失败信息及统计数据。
7.一种密码验证系统,其特征在于,包括权利要求1、权利要求2、权利要求3、权利要求4、权利要求5、权利要求6中任意一项或多项组合的密码验证方法构成的系统。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810259171.4A CN108429758A (zh) | 2018-03-27 | 2018-03-27 | 一种密码验证方法和系统 |
| PCT/CN2018/088413 WO2019184074A1 (zh) | 2018-03-27 | 2018-05-25 | 一种密码验证方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810259171.4A CN108429758A (zh) | 2018-03-27 | 2018-03-27 | 一种密码验证方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108429758A true CN108429758A (zh) | 2018-08-21 |
Family
ID=63159925
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810259171.4A Pending CN108429758A (zh) | 2018-03-27 | 2018-03-27 | 一种密码验证方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108429758A (zh) |
| WO (1) | WO2019184074A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111490973A (zh) * | 2020-03-08 | 2020-08-04 | 苏州浪潮智能科技有限公司 | 一种网络账号安全保护方法及装置 |
| CN117540433A (zh) * | 2024-01-09 | 2024-02-09 | 北京清众神州大数据有限公司 | 用户隐私保护方法、服务器、用户终端及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468553A (zh) * | 2014-11-28 | 2015-03-25 | 北京奇虎科技有限公司 | 一种公共账号登录的方法、装置及系统 |
| CN104517217A (zh) * | 2014-11-24 | 2015-04-15 | 形山科技(深圳)有限公司 | 一种数据处理方法及终端 |
| WO2015176465A1 (zh) * | 2014-05-22 | 2015-11-26 | 中兴通讯股份有限公司 | 账号管理方法及装置 |
| CN107347049A (zh) * | 2016-05-05 | 2017-11-14 | 腾讯科技(深圳)有限公司 | 一种账号鉴权方法及服务器 |
-
2018
- 2018-03-27 CN CN201810259171.4A patent/CN108429758A/zh active Pending
- 2018-05-25 WO PCT/CN2018/088413 patent/WO2019184074A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015176465A1 (zh) * | 2014-05-22 | 2015-11-26 | 中兴通讯股份有限公司 | 账号管理方法及装置 |
| CN104517217A (zh) * | 2014-11-24 | 2015-04-15 | 形山科技(深圳)有限公司 | 一种数据处理方法及终端 |
| CN104468553A (zh) * | 2014-11-28 | 2015-03-25 | 北京奇虎科技有限公司 | 一种公共账号登录的方法、装置及系统 |
| CN107347049A (zh) * | 2016-05-05 | 2017-11-14 | 腾讯科技(深圳)有限公司 | 一种账号鉴权方法及服务器 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111490973A (zh) * | 2020-03-08 | 2020-08-04 | 苏州浪潮智能科技有限公司 | 一种网络账号安全保护方法及装置 |
| CN117540433A (zh) * | 2024-01-09 | 2024-02-09 | 北京清众神州大数据有限公司 | 用户隐私保护方法、服务器、用户终端及存储介质 |
| CN117540433B (zh) * | 2024-01-09 | 2024-04-26 | 山西清众科技股份有限公司 | 用户隐私保护方法、服务器、用户终端及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019184074A1 (zh) | 2019-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11140155B2 (en) | Methods, computer readable media, and systems for authentication using a text file and a one-time password | |
| US10785210B2 (en) | User-enabled, two-factor authentication service | |
| US8302187B1 (en) | System and method for preventing large-scale account lockout | |
| CN106453205B (zh) | 一种身份验证方法和装置 | |
| CN108881310A (zh) | 一种注册系统及其工作方法 | |
| CN104683354B (zh) | 一种基于标识的动态口令系统 | |
| US20150006399A1 (en) | Social Media Based Identity Verification | |
| US11811777B2 (en) | Multi-factor authentication using confidant verification of user identity | |
| CN106549973A (zh) | 一种基于生物特征识别的客户端及其工作方法 | |
| US9654466B1 (en) | Methods and systems for electronic transactions using dynamic password authentication | |
| CN106330448B (zh) | 一种用户合法性验证方法、装置及系统 | |
| CN103929425B (zh) | 一种身份注册、身份认证的方法、设备和系统 | |
| Javed et al. | Secure fallback authentication and the trusted friend attack | |
| Papaspirou et al. | A novel two-factor honeytoken authentication mechanism | |
| US9754209B1 (en) | Managing knowledge-based authentication systems | |
| US10764068B2 (en) | Computer system employing challenge/response protocol with detection of non-unique incorrect responses | |
| CN108429758A (zh) | 一种密码验证方法和系统 | |
| CN106452845B (zh) | 一种在线解锁的实现方法及装置 | |
| CN111949952B (zh) | 验证码请求处理方法及计算机可读存储介质 | |
| Evseev et al. | Two-factor authentication methods threats analysis | |
| Patil et al. | Achieving flatness: with video captcha, location tracking, selecting the honeywords | |
| US10255558B1 (en) | Managing knowledge-based authentication systems | |
| Nguyen et al. | An analysis of persuasive text passwords | |
| Tellini et al. | Two-Factor Authentication: Selecting and implementing a two-factor authentication method for a digital assessment platform | |
| Dey | Prashant's algorithm for password management system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180821 |
|
| WD01 | Invention patent application deemed withdrawn after publication |