CN1444190A - 反口令攻击密码验证技术 - Google Patents
反口令攻击密码验证技术 Download PDFInfo
- Publication number
- CN1444190A CN1444190A CN 03106565 CN03106565A CN1444190A CN 1444190 A CN1444190 A CN 1444190A CN 03106565 CN03106565 CN 03106565 CN 03106565 A CN03106565 A CN 03106565A CN 1444190 A CN1444190 A CN 1444190A
- Authority
- CN
- China
- Prior art keywords
- password
- time
- program
- attack
- character string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
一种可以广泛用于各种需要对密码进行验证的程序及装置的反口令攻击密码验证技术。它是在对密码的验证过程中加入一段时间的延迟或者加入冗余的运算,以延长每次验证所需的时间,从而延长破解密码所需的时间,增强密码的安全性。
Description
所属技术领域
本发明用于使用密码或其它具有单一性信息(如声音、指纹等)作为密码进行区分使用者或进入者合法性的程序或装置,以增强其安全性。
背景技术
目前,使用密码(口令,PassWord)或其它具有单一性的信息作为密码进行区分使用者或进入者的合法性这一方法被广泛使用,其原理是当用户输入密码及与其相对应的字符串(如用户名、卡号等)后,程序首先验证对应字符串是否在密码表(PsaaWordList)的某一组中,若未找到则通知用户用户名或密码不正确;若对应字符串合法则对用户输入的密码进行单向运算,然后将其结果与密码表中相应组的数据进行比较,若不同,则返回密码非法并通知用户,若相同则认为密码合法。完成验证。(某些应用中没有与密码相对应的字符串)但随着计算机计算速度的不断提高,一些非法使用者或进入者可以使用特定的程序或工具,对密码或信息代码验证程序及电子锁施以口令攻击,通过以大量可能是密码的字符串进行验证,试验得出真正的密码或信息代码,突破密码保护。现有的密码验证系统抵御口令攻击的方法是建议或限定用户使用位数较长的更加复杂且无任何具体意义的密码,并经常更换。(或增加对验证信息的取样点)。以使密码保护程序或装置在面对口令攻击时的平均破解时间延长。但是更长更复杂的密码即不便记于忆又输入耗时较长,所以在实际使用中采用率并不高,而且未来的计算机计算速度无限提高以后,使用超长的密码也并不现实。口令攻击的方法两种,一是暴力破解法(又称穷举法)指破解程序依次将组成密码的所有字符或信息代码进行组合,然后将其结果依次送入密码程序中进行验证从而得到正确密码,其特点是耗时长,但任何密码都无法抵御其攻击。另一种是字典攻击法(WordListCrack)指破解程序使用预先编制的包含许多可能被用作密码的字符串或信息代码的字典文件(WordList),将其中的字符串依次送入密码验证程序进行验证,从而得到正确密码。其特点是更加省时高效,只要选择好字典文件,其命中率也会相当高。所以此方法更为常用。另外在进行口令攻击时,破解者常使用多线程破解即以多个程序或同一程的多个线程同时进行口令攻击,其平均破解时间进一步缩短。
发明内容
为克服现有密码验证程序及装置不能有效抵御口令攻击的缺点,本发明提供一种全新的密码验证技术,以一种简单有效的方法将密码的平均破解时间极大延长,并降低密码验证程序安全性对密码复杂程度的依赖。
本发明解决其技术问题所采用的技术方案是:在密码验证程序或装置中,当需要密码(或被用作密码的其它单一性信息)与某一字符串(如用户名、ID号、卡号用户组名等)相对应使用时,限制同一字符串可被同时使用的数量,及其在上一次通过验证后被累计使用的数量。当用户输入密码或其它单一性信息及对应的字符串并要求给予验证后,程序首先检验对应字符串是否在密码表中的某一组中,再检验对应字符串的同时使用量和累计使用量是否超过程序限定值,若对应字符串不在密码表中或使用量超限,则延长一段时间后(时间长度为预先设定),通知用户并作相应处理(如关闭程序、报警、限制下次验证的时间等)。若对应字符串合法且使用量未超限或者不需要密码与其它字符串相对应使用,则在延长一段预先设定的时间后(此段时间长度视具体应用情况对安全性和快捷性的要求进行设定,前述时段据此段时长进行设定),程序验证密码的合法性,若密码非法则通知用户并做相应处理,若密码合法则将其对应字符串累计使用量归零,完成验证过程,程序或装置进行后续操作。在某些对安全性要求较高的应用中,可将时间上的延迟换为或是另行增加对密码进行大量的冗余运算(不同现有技术中对密码进行的单向运算,而是不以运算结果为目的的,不必要的运算),将此冗余运算与单向运算相结合,使冗余运算与必要的单向运算无法相剥离,以进一步增强程序的安全性。也可以将冗余运算与时间延迟并行设制,即限制进行冗余运算的时间不低于预设值。在某些对安全性要求较低且需要密码与字符串相对应使用的应用中,可以在对同一字符串及密码进行首次验证时不予延迟,直接进行验证,只有在首次验证未通过之后的再次验证中延迟一段预设的时间。另外,可以对两次验证的相隔时间进行限制,以确保用户为手工修改输入错误的密码而非在使用口令攻击。本发明的有益效果
以较小的时间上的延迟换取密码平均破解时间的极大延长,大幅度提高了密码验证程序的安全性,并使用户无需再使用冗长复杂的密码来维护系统的安全性。其次本发明的实现较为容易,不需要对原有程序进行较大的改动,不增加软件和硬件成本。例如以暴力破解法对六位长的数字与英文大小写混杂的密码进行破解,若验证程序每次的延迟设为20秒,不进行冗余运算,不计算机器的运算耗时和传输时间,只计算每次延迟的20秒,那么其平均破解时间也将至少为18012年。这么长的平均破解时间足以让我们认为它是安全的,而且有资料表明低于七位长的密码是较容易记忆的。
具体实施方式
在不同的应用环境中及对安全性和快捷性的不同要求下,本发明的实施可以选用不同的方式。
例如应用在普通email邮箱密码的验证程序中,因为网络的特性所以程序须限制同时可处理的验证请求数量,以防被拒绝服务攻击;同时须限制来自同一地址的验证请求数量,过多的请求很可能是有人在进行口令攻击;还须限制同一用户名被同时使用的数量及累计错误量;因为网络的传输较慢及用户对普通邮箱的安全性要求不高,所以可以在对同一用户名进行首次验证时不予延迟,只在错误后的再次验证中再延迟10至30秒左右即可,并且,限制两次验证相隔的时间最少为3秒。对于机密邮箱或网络管理员登录密码等应用,首次验证不延时则是不可取的。另外,一般情况下,在网络应络应用中加入冗余运算也是不可取的,因为比较容易成为拒绝服务攻击的对象。
再例如,在电子密码锁的应用中,分为两种情况。一种是多个终端点的(如一栋大楼中多个密码门的控制),则其对地址和用户名的限制可参照网络应用进行设制。另一种是终端点较少或仅为一个的情况下,对地址和用户名的限制已意义不大。对于电子密码锁,时间的延迟与冗余运算的并行设制是较为理想的方案,最好能将冗余运算与单向运算结合起来。另外可以将两次验证间隔设长一点更为安全。
Claims (1)
- 一种反口令密码验证技术,使用密码或其它具有单一性的信息作为密码,通过查找输入的密码是否为密码表中的合法值来区分使用者或进入者身份的合法性,其特征为:在密码验证过程中加入一段时间上的延迟,或者进行不以计算结果为目的的冗余运算,或者将冗余运算加入到原有单向运算中以延长每次验证所需时间,以延长密码验证程序在面对口令攻击时的平均破解时间,从而增强密码验证程序的安全性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03106565 CN1444190A (zh) | 2002-07-25 | 2003-03-03 | 反口令攻击密码验证技术 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN02126772 | 2002-07-25 | ||
| CN021267723 | 2002-07-25 | ||
| CN 03106565 CN1444190A (zh) | 2002-07-25 | 2003-03-03 | 反口令攻击密码验证技术 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1444190A true CN1444190A (zh) | 2003-09-24 |
Family
ID=28042615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 03106565 Pending CN1444190A (zh) | 2002-07-25 | 2003-03-03 | 反口令攻击密码验证技术 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1444190A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833247A (zh) * | 2012-08-24 | 2012-12-19 | 上海心动企业发展有限公司 | 一种用户登陆系统中的反扫号方法及其装置 |
| CN105700988A (zh) * | 2016-01-08 | 2016-06-22 | 上海北塔软件股份有限公司 | 一种服务器密码自匹配的运维管理监控方法 |
| CN103701629B (zh) * | 2013-11-27 | 2016-11-30 | 北京神州泰岳软件股份有限公司 | 一种弱口令分析方法和系统 |
-
2003
- 2003-03-03 CN CN 03106565 patent/CN1444190A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833247A (zh) * | 2012-08-24 | 2012-12-19 | 上海心动企业发展有限公司 | 一种用户登陆系统中的反扫号方法及其装置 |
| CN103701629B (zh) * | 2013-11-27 | 2016-11-30 | 北京神州泰岳软件股份有限公司 | 一种弱口令分析方法和系统 |
| CN105700988A (zh) * | 2016-01-08 | 2016-06-22 | 上海北塔软件股份有限公司 | 一种服务器密码自匹配的运维管理监控方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6834795B1 (en) | Secure user authentication to computing resource via smart card | |
| CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
| Leggett et al. | Dynamic identity verification via keystroke characteristics | |
| CN110149328B (zh) | 接口鉴权方法、装置、设备及计算机可读存储介质 | |
| US11750386B1 (en) | Asynchronous step-up authentication for client applications | |
| US7114076B2 (en) | Consolidated technique for authenticating a user to two or more applications | |
| US7660994B2 (en) | Access control | |
| CN110493202A (zh) | 登录令牌的生成及验证方法、装置和服务器 | |
| CN101166091A (zh) | 一种动态密码认证的方法及服务端系统 | |
| CN108600213B (zh) | 复合型身份认证方法及应用该方法的复合型身份认证系统 | |
| CN105656891B (zh) | 一种弱口令核查方法及装置 | |
| CN102457491B (zh) | 动态身份认证方法和系统 | |
| CN112528257A (zh) | 安全调试方法、装置、电子设备及存储介质 | |
| CN106453321A (zh) | 一种认证服务器、系统和方法及待认证终端 | |
| Kim et al. | A design of one-time password mechanism using public key infrastructure | |
| CN110322610A (zh) | 一种机房机柜操作权限信息匹配方法 | |
| CN102694776A (zh) | 一种基于可信计算的认证系统及方法 | |
| CN1444190A (zh) | 反口令攻击密码验证技术 | |
| US20220116220A1 (en) | Password management system and method | |
| CN108241803B (zh) | 一种异构系统的访问控制方法 | |
| CN220528071U (zh) | 一种密码令牌认证装置 | |
| Ussatova et al. | Two-factor authentication algorithm implementation with additional security parameter based on mobile application | |
| CN108075880A (zh) | 一种网络游戏服务器登录安全系统及方法 | |
| CN109409046B (zh) | 一种工业安全系统的安全登录认证方法 | |
| CN113873519B (zh) | 一种基于区块链的数字资产载体终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |