TW201339887A - 運用驗證碼防止側錄程式攻擊的方法 - Google Patents

運用驗證碼防止側錄程式攻擊的方法 Download PDF

Info

Publication number
TW201339887A
TW201339887A TW101110870A TW101110870A TW201339887A TW 201339887 A TW201339887 A TW 201339887A TW 101110870 A TW101110870 A TW 101110870A TW 101110870 A TW101110870 A TW 101110870A TW 201339887 A TW201339887 A TW 201339887A
Authority
TW
Taiwan
Prior art keywords
login
user
verification code
server
rule
Prior art date
Application number
TW101110870A
Other languages
English (en)
Inventor
Hui-Yu Shen
Zhan-Yuan Zhuang
Jie-Han Ji
Original Assignee
Univ Chienkuo Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Univ Chienkuo Technology filed Critical Univ Chienkuo Technology
Priority to TW101110870A priority Critical patent/TW201339887A/zh
Publication of TW201339887A publication Critical patent/TW201339887A/zh

Links

Abstract

一種運用驗證碼防止側錄程式攻擊的方法,包括:提出一登入請求;及該伺服器根據該登入請求執行一登入程序,該登入程序包括:提供一登入介面;接收該用戶輸入於該登入介面的登入資料及一參考驗證碼;運算一正確驗證碼;及若該用戶輸入的該登入資料及該參考驗證碼與該伺服器內的該登入資料及該正確驗證碼相同,該伺服器允許該用戶登入。本發明之方法能有效防止駭客側錄登錄過程的資料,以提高通訊安全。

Description

運用驗證碼防止側錄程式攻擊的方法
本發明係與防止登入資訊被側錄有關,特別是指一種運用驗證碼防止側錄程式攻擊的方法。
隨著雲端技術的發展,運用電子裝置(例如:桌上型電腦、筆記型電腦、平板電腦及智慧型手機等)透過通訊網路連線至一網站、一伺服器或一資料庫中心來執行查詢、儲存、交易或工作處理已經是很普遍地模式,但在進入該網站、伺服器或資料庫中心來進行上述作業時,為了防止個人的資料被竊取,通常需要輸入屬於個人的帳號、密碼及驗證碼來保護個人帳戶資料。例如:台灣第I296769號專利揭露一種提高登入帳號安全性的系統及方法,該專利主要是藉由一服務提供端判斷前一次的登入帳號資訊與目前的登入帳號資訊來確認使用端是否能通過驗證。因此,若該系統被植入側錄程式,則儲存於該服務提供端的登入帳號資訊將被側錄竊取,而影響到使用者帳戶的安全。
本發明之主要目的在於提供一種運用驗證碼防止側錄程式攻擊的方法,其可利用一驗證碼來防止駭客側錄到有效的登入資料。
本發明之次一目的在於提供一種運用驗證碼防止側錄程式攻擊的方法,其可防止駭客藉由側錄程式自動側錄並辨識出該驗證碼。
緣是,為了達成前述目的,依據本發明所提供之一種運用驗證碼防止側錄程式攻擊的方法,包括:提出一登入請求,由一用戶操作一用戶裝置對一伺服器提出,其中,該用戶已知一登入資訊,該登入資訊包括一登入資料及一登入規則;及該伺服器儲存有該登入資訊及多張圖片;及該伺服器根據該登入請求執行一登入程序,該登入程序包括:提供一登入介面至該用戶裝置,該登入介面具有一輸入區及該些圖片中的其中一者;接收該用戶輸入於該輸入區內的登入資料及一參考驗證碼,該參考驗證碼係該用戶根據該圖片的內容與該登入規則運算獲得;運算一正確驗證碼,該正確驗證碼係該伺服器根據該圖片的內容與該登入資訊的登入規則運算獲得;及判斷該用戶輸入的該登入資料及該參考驗證碼與該伺服器內的該登入資料及該正確驗證碼是否相同?若是,該伺服器允許該用戶登入;若不是,該伺服器不允許該用戶登入。
為了詳細說明本發明之技術特點所在,茲舉以下之一較佳實施例並配合圖式說明如后,其中:如第一至三圖所示,本發明一較佳實施例所提供之一種運用驗證碼防止側錄程式攻擊的方法,該方法係應用於一登入系統。如第一圖所示,該登入系統10包括一用戶裝置11及一伺服器12。該用戶裝置11用以供一用戶操作,且能藉由通訊網路連線至該伺服器12。其中,該用戶裝置11可以是桌上型電腦、筆記型電腦、平板電腦或智慧型手機等。
本發明之方法包括:提出一登入請求,該登入請求係由該用戶操作上述的用戶裝置11對該伺服器12提出,其中,該用戶已知一登入資訊,該登入資訊包括一登入資料及一登入規則,該登入資料通常有一帳號及一密碼。該伺服器12儲存有該登入資訊14及多張圖片15,如第二圖所示。
該伺服器12根據該登入請求執行一登入程序,該登入程序包括:提供一登入介面16至該用戶裝置11,該登入介面16具有一輸入區17及該些圖片15中的其中一者15a,如第三圖所示;接收該用戶輸入於該輸入區17內的登入資料及一參考驗證碼18,該參考驗證碼18係該用戶根據該圖片15a的內容與該登入規則運算獲得;運算一正確驗證碼,該正確驗證碼係該伺服器12根據該圖片15a的內容與該登入資訊的登入規則運算獲得;及判斷該用戶輸入的該登入資料及該參考驗證碼18與該伺服器12內的該登入資料及該正確驗證碼是否相同?若是,該伺服器12允許該用戶登入;若不是,該伺服器12不允許該用戶登入。
於實際應用中,該登入介面16係顯示於該用戶裝置11的螢幕上,該用戶能透過該用戶裝置11的輸入裝置(例如:鍵盤、觸控螢幕或滑鼠等)將登入資料及參考驗證碼18填入該登入介面16的輸入區17。其中,該參考驗證碼18的產生係由該用戶依據已知的該登入規則,及該用戶裝置11螢幕顯示的該圖片15a的內容,進行運算而得。該圖片15的內容包括圖形化文字、圖形化符號及圖形化數字的組合。詳而言之,若該登入規則是對該圖片15a的內容末位數加一,當該圖片15a的內容顯示「5416」,則該用戶就會直接根據已知的該登入規則運算後得到「5417」(參考驗證碼18),並將「5417」填入該輸入區內,相同地,該伺服器12也會運算得到「5417」(正確驗證碼),如此,該伺服器12就同意該用戶的帳號登入,反之,若該用戶輸入的參考驗證碼不是「5417」,則該伺服器12就不允許該用戶的帳號登入。
本發明之運用驗證碼防止側錄程式攻擊的方法所述之該登入規則僅有該用戶及該伺服器12知道,且不會在登入過程中傳送,因此,駭客無法從登入過程中側錄到該登入規則,此外,即便駭客側錄到目前的圖片15a,但該圖片15a是隨機產生,所以無論是由人工或設備(例如:電腦)判讀出該目前圖片15a的內容,在下次登入時該圖片與目前圖片15a的內容已不相同,因此,仍無法獲得有效的參考驗證碼,以提高用戶的帳號安全。
此外,由於目前的機器程式無法判讀該圖形化文字、圖形化符號及圖形化數字,因此,駭客側錄到該圖片15a的內容時,仍無法由該機器程式判讀。
實際上,該伺服器12內儲存有多個登入資訊14,每一登入資訊14係對應一用戶的帳號,當該用戶輸入該帳號時,該伺服器12會依據該登入資料對應的該登入規則來進行運算。
請一併參照第一及四圖,若該用戶未在該伺服器12註冊帳號或需註冊另一帳號,該運用驗證碼防止側錄程式攻擊的方法還包括:提出一申請請求,由該用戶操作該用戶裝置11對該伺服器12提出;該伺服器12根據該申請請求執行一申請程序,該申請程序包括:提供一申請介面19,該申請介面包括一基本資料欄20及多個登入規則選項21,該基本資料欄20及該些登入規則選項21係供該用戶輸入及選擇,其中,每一登入規則選項21係對應一種登入規則,如第四圖所示;接收該用戶透過該用戶裝置11輸入於該基本資料欄20的資料建立成另一登入資料,及將該被選取的登入規則選項對應的登入規則建立成另一登入規則;將該另一登入資料及該另一登入規則建立成另一登入資訊;及儲存該另一登入資訊。
於第四圖中,該用戶係選擇第三項的登入規則,因此,該用戶下次登入時,需依據該用戶裝置11所顯示的該圖片的內容來運算(即內容的總數加50)出該參考驗證碼,而非傳統記住密碼資料的方式。其中,該另一登入規則與上述的登入規則的功用相同,但運算的方式不同,需要注意的是,該登入規則及該另一登入規則的演算方式並無限制,只要該用戶選定或自定後,將演算方式儲存於該伺服器12內即可,這樣,以後該用戶要登入該帳號就要使用這個特定的演算方式(即登入規則)。此外,若該圖片的內容非數字,可使用適當的排列方式來當作登入規則,例如,第四圖中的第四項(由左至右輸入),因此,本發明所述之登入規則可任意設計。
10...登入系統
11...用戶裝置
12...伺服器
14...登入資訊
15、15a...圖片
16...登入介面
17...輸入區
18...參考驗證碼
19...申請介面
20...基本資料欄
21...登入規則選項
第一圖係繪示本發明之一較佳實施例之運用驗證碼防止側錄程式攻擊的系統示意圖。
第二圖係繪示第一圖中伺服器的示意圖。
第三圖係繪示第一圖中用戶裝置顯示一登入介面的示意圖。
第四圖係繪示第一圖中用戶裝置顯示一申請介面的示意圖。
10...登入系統
11...用戶裝置
12...伺服器

Claims (3)

  1. 一種運用驗證碼防止側錄程式攻擊的方法,包括:提出一登入請求,由一用戶操作一用戶裝置對一伺服器提出,其中,該用戶已知一登入資訊,該登入資訊包括一登入資料及一登入規則;及該伺服器儲存有該登入資訊及多張圖片;及該伺服器根據該登入請求執行一登入程序,該登入程序包括:提供一登入介面至該用戶裝置,該登入介面具有一輸入區及該些圖片中的其中一者;接收該用戶輸入於該輸入區內的登入資料及一參考驗證碼,該參考驗證碼係該用戶根據該圖片的內容與該登入規則運算獲得;運算一正確驗證碼,該正確驗證碼係該伺服器根據該圖片的內容與該登入資訊的登入規則運算獲得;及判斷該用戶輸入的該登入資料及該參考驗證碼與該伺服器內的該登入資料及該正確驗證碼是否相同?若是,該伺服器允許該用戶登入;若不是,該伺服器不允許該用戶登入。
  2. 如申請專利範圍第1項所述之運用驗證碼防止側錄程式攻擊的方法,其中,該圖片的內容包括文字、符號及數字。
  3. 如申請專利範圍第1項所述之運用驗證碼防止側錄程式攻擊的方法,其中,該方法還包括:提出一申請請求,由該用戶操作該用戶裝置對該伺服器提出;該伺服器根據該申請請求執行一申請程序,該申請程序包括:提供一申請介面至該用戶裝置,該申請介面包括一基本資料欄及多個登入規則選項,該基本資料欄及該些登入規則選項係供該用戶輸入及選擇,其中,每一登入規則選項係對應一種登入規則;接收該用戶透過該用戶裝置輸入於該基本資料欄的資料成建立另一登入資料,及將該被選取的登入規則選項對應的登入規則建立成另一登入規則;將該另一登入資料及該另一登入規則建立成另一登入資訊;及儲存該另一登入資訊。
TW101110870A 2012-03-28 2012-03-28 運用驗證碼防止側錄程式攻擊的方法 TW201339887A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW101110870A TW201339887A (zh) 2012-03-28 2012-03-28 運用驗證碼防止側錄程式攻擊的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW101110870A TW201339887A (zh) 2012-03-28 2012-03-28 運用驗證碼防止側錄程式攻擊的方法

Publications (1)

Publication Number Publication Date
TW201339887A true TW201339887A (zh) 2013-10-01

Family

ID=49770927

Family Applications (1)

Application Number Title Priority Date Filing Date
TW101110870A TW201339887A (zh) 2012-03-28 2012-03-28 運用驗證碼防止側錄程式攻擊的方法

Country Status (1)

Country Link
TW (1) TW201339887A (zh)

Similar Documents

Publication Publication Date Title
US11372963B2 (en) Client login method and apparatus and storage medium
US10657243B2 (en) Variation analysis-based public turing test to tell computers and humans apart
EP2892198B1 (en) Detecting and breaking captcha automation scripts and preventing image scraping
US7770002B2 (en) Multi-factor authentication
US20140098141A1 (en) Method and Apparatus for Securing Input of Information via Software Keyboards
US20160127134A1 (en) User authentication system and method
US20140157382A1 (en) Observable authentication methods and apparatus
US9172692B2 (en) Systems and methods for securely transferring authentication information between a user and an electronic resource
US10616209B2 (en) Preventing inter-application message hijacking
TW200912694A (en) Method and system for preventing password theft through unauthorized keylogging
US20130106916A1 (en) Drag and drop human authentication
KR101267229B1 (ko) 입력패턴을 이용한 인증 방법 및 시스템
CN106685945B (zh) 业务请求处理方法、业务办理号码的验证方法及其终端
TWI428816B (zh) Virtual keypad display method
US11386188B2 (en) Method and system for recognizing input using index of variable grid
JP2016015107A5 (zh)
EP3716564B1 (en) Method for resetting password, request terminal and check terminal
CN106133720A (zh) 持续小书签授权
TW201339887A (zh) 運用驗證碼防止側錄程式攻擊的方法
KR20120107610A (ko) 휴대 단말기에서의 사용자 인증 장치 및 그 방법
US10491391B1 (en) Feedback-based data security
JP5770354B1 (ja) サーバシステム及びリクエスト実行制御方法
WO2018145241A1 (zh) 一种基于指纹信息的电子支付方法和装置
TWI659337B (zh) 顯示動態虛擬鍵盤之方法及其電腦程式產品
CN115935331A (zh) 用户密码的生成方法、装置、电子设备及介质