TWI473507B - QR code interactive OTP password authentication method - Google Patents

QR code interactive OTP password authentication method Download PDF

Info

Publication number
TWI473507B
TWI473507B TW101139580A TW101139580A TWI473507B TW I473507 B TWI473507 B TW I473507B TW 101139580 A TW101139580 A TW 101139580A TW 101139580 A TW101139580 A TW 101139580A TW I473507 B TWI473507 B TW I473507B
Authority
TW
Taiwan
Prior art keywords
code
interactive
user
management server
password
Prior art date
Application number
TW101139580A
Other languages
English (en)
Other versions
TW201417597A (zh
Original Assignee
Univ Chien Hsin Sci & Tech
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Univ Chien Hsin Sci & Tech filed Critical Univ Chien Hsin Sci & Tech
Priority to TW101139580A priority Critical patent/TWI473507B/zh
Publication of TW201417597A publication Critical patent/TW201417597A/zh
Application granted granted Critical
Publication of TWI473507B publication Critical patent/TWI473507B/zh

Links

Landscapes

  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)

Description

QR code互動OTP密碼認證方法
本發明係有關於一種網路帳號身分認證技術,特別是指一種需經由指定之行動裝置掃描使用者介面所顯示之QR code始能獲得對應於QR code之互動OTP密碼,以供成為管理伺服器確認使用者登入身分依據之QR code互動OTP密碼認證方法。
隨著網際網路越來越普及化,逐漸改變了人們的生活型態,而身分識別是網路服務最基本的建設,例如電子商務、政府電子化及Web服務的發展漸趨成熟,伴隨著資訊安全風險也增加,因此,身分識別為一重要的課題。傳統身分識別提供使用者一組固定的帳號與密碼。
近年來電腦病毒、木馬程式、電腦蠕蟲、釣魚網站、間諜程式、暴力破解等不法技術的進步,密碼儘管使用SSL加密協定,也變得不再安全。一旦帳號/密碼遭有心人士竊取,使用者身份可能因此被冒用,輕者造成個人財物損失,重者公司機密資料外洩等,無法彌補的損害。為了防止帳號/密碼被竊取,目前已發展出一次性密碼機制(One-Time Password,OTP),利用密碼產生器依據演算法運算,具有不可預測、不可重複、使用一次或時間過即失效。
然而一次性密碼的機制面對釣魚網站的攻擊手法是有風險的,釣魚網站利用社交工程的方式寄送假造的電子郵件,誘騙使用者連結至相似度高偽造的網頁介面,竊取使 用者所登入的帳號/密碼。由於被竊取的密碼並未於真正的合法介面上登入過,且一次性密碼於一定期間內為有效的密碼,因此,有心人士於有效期間內利用被竊取的密碼登入真正的合法介面即可冒用使用者的身份。
綜上所述,如何做到互動雙向雙層保護認證讓使用者可於認證過程中分辨出偽造的服務界面,於帳務性交易或機密性資料查詢系統時,更加安全,有效的保護措施便是目前極需努力的目標。
針對上敘述問題本發明之主要目的,即在於提供一以相對更為積極之手段防止木馬程式、鍵盤側錄、釣魚網站、中間人攻擊、間諜程式、暴力破解等網路攻擊之QR code互動OTP密碼認證方法。
為了達到上述目的,本發明之QR code互動OTP密碼認證方法,係在使用者登入身分認證時,經至少一次由管理伺服器將隨機產生之QR code傳送至用戶端之使用者介面,由使用者透過指定之行動裝置掃描該使用者介面所顯示之QR code以便產生對應於QR code之互動OTP密碼及驗證碼,經使用者將其帳號/原始登錄密碼/該QR code/對應於該QR code之互動OTP密碼輸入至使用者介面,且經管理伺服器驗證對應於該QR code之互動OTP密碼正確無誤始可成功登入。
依據上述技術特徵,所述QR code互動OTP密碼認證方法,基本上包括下列步驟:a.提供一可透過網際網路對應於用戶端之網路設備產生一使用者介面,且供使用者註冊/登入 帳號的管理伺服器;b.由用戶端之使用者透過該使用者介面向管理伺服器提出一行動裝置之註冊,並於該行動裝置載入一用以掃描使用者介面所顯示之QR code而產生一互動OTP密碼及一驗證碼的密碼產生器;c.由該管理伺服器隨機產生一QR code,且將該QR code傳送至用戶端之使用者介面;d.由用戶端之使用者透過已註冊之行動裝置之密碼產生器掃描該顯示於使用者介面之QR code,且產生一對應於該QR code之互動OTP密碼及一對應於該QR code之驗證碼;e.由用戶端之使用者於使用者介面輸入帳號/原始登錄密碼/該QR code/對應於該QR code之互動OTP密碼;f.由用戶端之網路設備將輸入於使用者介面之帳號/原始登錄密碼/該QR code/對應於該QR code之互動OTP密碼傳送至管理伺服器;g.經由管理伺服器驗證對應於該QR code之互動OTP密碼正確無誤始可成功登入。
上述QR code互動OTP密碼認證方法,於管理伺服器驗證對應於該QR code之互動OTP密碼錯誤時,由管理伺服器透過網際網路於用戶端之使用者介面顯示一提示該互動OTP密碼輸入錯誤之回應訊息,且設定在管理伺服器連續驗證對應於該QR code之互動OTP密碼錯誤超過預定次數即將該用戶端鎖定。
上述QR code互動OTP密碼認證方法,係可設定在管理伺服器隨機產生一QR code之後的預定時間內,未接收到用戶端回傳之互動OTP密碼,由管理伺服器透過網際網路於用戶端之使用者介面顯示一提示該互動OTP密碼輸入錯誤之回應訊息。
上述QR code互動OTP密碼認證方法,係由使用者以一行動裝置透過使用者介面向該管理伺服器註冊,且經管理伺服器發送認證簡訊訊息(SMS)至該行動裝置,由使用者利用簡訊訊息(SMS)透過無線網路接收密碼產生器程式下載及安裝。
上述QR code互動OTP密碼認證方法,於管理伺服器驗證對應於該QR code之互動OTP密碼錯誤時,由管理伺服器透過網際網路於用戶端之使用者介面顯示一提示該互動OTP密碼輸入錯誤之回應訊息,且設定在管理伺服器連續驗證對應於該QR code之互動OTP密碼錯誤超過預定次數即將該用戶端鎖定;以及,設定在管理伺服器隨機產生一QR code之後的預定時間內,未接收到用戶端回傳之互動OTP密碼,由管理伺服器透過網際網路於用戶端之使用者介面顯示一提示該互動OTP密碼輸入錯誤之回應訊息。
上述QR code互動OTP密碼認證方法,係可重覆至少一次c.~f.之操作步驟。
所述QR code互動OTP密碼認證方法,係可在驗證對應於該QR code之互動OTP密碼正確無誤之同時,由管理伺服器將對應於該QR code之驗證碼回傳至使用者介面,供使用者確認顯示於使用者介面之驗證碼與行動裝置所產生之驗證碼是否一致,以供使用者判斷該使用者介面所屬網頁之合法性。
具體而言,本發明之QR code互動OTP密碼認證方法,係可以產生下列功效:
1.能夠以相對更為積極之手段防止木馬程式、鍵盤側錄、釣魚網站、中間人攻擊、間諜程式、暴力破解等網路攻 擊。
2.使用者可經由確認使用者介面之驗證碼與行動裝置所產生之驗證碼是否一致之方式,判斷該使用者介面所屬網頁之合法性,有效達到防堵詐騙網頁之目的。
3.可透過要求第二次驗證另一隨機QR code所對應之互動OTP密碼之方式,加強使用者於帳務性交易或機密性資料查詢時之防護效果。
本發明之特點,可參閱本案圖式及實施例之詳細說明而獲得清楚地瞭解。
本發明主要提供一種能夠以相對更為積極之手段防止木馬程式、鍵盤側錄、釣魚網站、中間人攻擊、間諜程式、暴力破解等網路攻擊之QR code互動OTP密碼認證方法,如第一圖及第二圖所示,本發明之QR code互動OTP密碼認證方法,主係在使用者登入身分認證時,經至少一次由管理伺服器10將隨機產生之QR code傳送至用戶端之使用者介面21,由使用者透過指定之行動裝置30掃描該使用者介面21所顯示之QR code以便產生對應於QR code之互動OTP密碼及驗證碼,經使用者將其帳號/原始登錄密碼/該QR code/對應於該QR code之互動OTP密碼輸入至使用者介面,且經管理伺服器10驗證對應於該QR code之互動OTP密碼正確無誤始可成功登入。
請同時配合參照第一圖至第四圖所示,本發明之QR code互動OTP密碼認證方法,基本上包括下列步驟:
a.提供一可透過網際網路40對應於用戶端之網路設備20產生一使用者介面21,且供使用者註冊/登入帳號的管理伺服器10。
b.由用戶端之使用者透過該使用者介面21向管理伺服器10提出一行動裝置30之註冊,並於該行動裝置30載入一用以掃描使用者介面21所顯示之QR code而產生一互動OTP密碼及一驗證碼的密碼產生器31;於實施時,係可由使用者以一行動裝置30透過使用者介面向該管理伺服器10註冊,且經管理伺服器10發送認證簡訊訊息(SMS)至該行動裝置30,由使用者利用簡訊訊息(SMS)透過網際網路40接收密碼產生器31程式下載及安裝。
c.由該管理伺服器10隨機產生一QR code,且將該QR code傳送至用戶端之使用者介面21。
d.由用戶端之使用者透過已註冊之行動裝置30之密碼產生器31掃描該顯示於使用者介面21之QR code,且產生一對應於該QR code之互動OTP密碼及一對應於該QR code之驗證碼。
e.由用戶端之使用者於使用者介面21輸入帳號/原始登錄密碼/該QR code/對應於該QR code之互動OTP密碼。
f.由用戶端之網路設備20將輸入於使用者介面21之帳號/原始登錄密碼/該QR code/對應於該QR code之互動OTP密碼傳送至管理伺服器10。
g.經由管理伺服器10驗證對應於該QR code之互動OTP密碼正確無誤始可成功登入。
原則上,由於本發明之QR code互動OTP密碼認證方法, 必需經由指定之行動裝置掃描使用者介面所顯示之QR code始能獲得對應於QR code之互動OTP密碼,以供成為管理伺服器確認使用者登入身分依據之QR code互動OTP密碼認證方法,因此除了能夠以相對更為積極之手段防止木馬程式、鍵盤側錄、釣魚網站、中間人攻擊、間諜程式、暴力破解等網路攻擊之外,更能夠防止歹徒以電話或簡訊套問驗證密碼的方式竊用他人帳號。
再者,本發明之QR code互動OTP密碼認證方法,於管理伺服器驗證對應於該QR code之互動OTP密碼錯誤時,可由管理伺服器透過網際網路於用戶端之使用者介面顯示一提示該互動OTP密碼輸入錯誤之回應訊息,且設定在管理伺服器連續驗證對應於該QR code之互動OTP密碼錯誤超過預定次數即將該用戶端鎖定,以防止舞弊的可能性。
當然,更可進一步設定在管理伺服器隨機產生一QR code之後的預定時間內,未接收到用戶端回傳之互動OTP密碼,由管理伺服器透過網際網路於用戶端之使用者介面顯示一提示該互動OTP密碼輸入錯誤之回應訊息。
值得一提的是,本發明之QR code互動OTP密碼認證方法,係可在驗證對應於該QR code之互動OTP密碼正確無誤之同時,由管理伺服器將對應於該QR code之驗證碼回傳至使用者介面,供使用者確認顯示於使用者介面之驗證碼與行動裝置所產生之驗證碼是否一致,以供使用者判斷該使用者介面所屬網頁之合法性。
以及,本發明QR code互動OTP密碼認證方法如應用於帳務性交易或機密性資料查詢時,係可設定重覆至少一次 c.~f.之操作步驟。俾可透過要求第二次驗證另一隨機QR code所對應之互動OTP密碼之方式,加強使用者於帳務性交易或機密性資料查詢時之防護效果
與傳統習用技術相較,本發明之QR code互動OTP密碼認證方法,係可以產生下列功效:
1.能夠以相對更為積極之手段防止木馬程式、鍵盤側錄、釣魚網站、中間人攻擊、間諜程式、暴力破解等網路攻擊。
2.使用者可經由確認使用者介面之驗證碼與行動裝置所產生之驗證碼是否一致之方式,判斷該使用者介面所屬網頁之合法性,有效達到防堵詐騙網頁之目的。
3.可透過要求第二次驗證另一隨機QR code所對應之互動OTP密碼之方式,加強使用者於帳務性交易或機密性資料查詢時之防護效果。
綜合上述,本發明之QR code互動OTP密碼認證方法,其不僅由互動驗證身份,同時藉由驗證碼來驗證管理伺服器是否合法,於帳務性交易或機密性資料可透過第二次驗證另一隨機QR code所對應之互動OTP密碼之方式,而達到真正互動雙向雙層認證之目的。
10‧‧‧管理伺服器
20‧‧‧網路設備
21‧‧‧使用者介面
30‧‧‧行動裝置
31‧‧‧密碼產生器
第一圖係為本發明所使用之相關設備配置使用配置參考圖。
第二圖係為本發明所使用之相關設備互動方式示意圖。
第三圖係為本發明之基本流程示意圖。
第四圖係為本發明一較佳時施例之操作流程示意圖。
10‧‧‧管理伺服器
20‧‧‧網路設備
21‧‧‧使用者介面
30‧‧‧行動裝置

Claims (4)

  1. 一種QR code互動OTP密碼認證方法,依序包括下列步驟:a.提供一可透過網際網路對應於用戶端之網路設備產生一使用者介面,且供使用者註冊/登入帳號的管理伺服器;b.由用戶端之使用者透過該使用者介面向管理伺服器提出一行動裝置之註冊,並於該行動裝置載入一用以掃描使用者介面所顯示之QR code而產生一互動OTP密碼及一驗證碼的密碼產生器;c.由該管理伺服器隨機產生一QR code,且將該QR code傳送至用戶端之使用者介面;d.由用戶端之使用者透過已註冊之行動裝置之密碼產生器掃描該顯示於使用者介面之QR code,且產生一對應於該QR code之互動OTP密碼及一對應於該QR code之驗證碼;e.由用戶端之使用者於使用者介面輸入帳號/原始登錄密碼/該QR code/對應於該QR code之互動OTP密碼;f.由用戶端之網路設備將輸入於使用者介面之帳號/原始登錄密碼/該QR code/對應於該QR code之互動OTP密碼傳送至管理伺服器;g.經由管理伺服器驗證對應於該QR code之互動OTP密碼正確無誤始可成功登入;且設定在管理伺服器隨機產生一QR code之後的預定時間內,未接收到用戶端回傳之互動OTP密碼,由管理伺服器透過網際網路於用戶端之使用者介面顯 示一提示該互動OTP密碼輸入錯誤之回應訊息,並可重覆至少一次c.~f.之操作步驟。
  2. 如申請專利範圍第1項所述之QR code互動OTP密碼認證方法,其中,所述QR code互動OTP密碼認證方法,於管理伺服器驗證對應於該QR code之互動OTP密碼錯誤時,由管理伺服器透過網際網路於用戶端之使用者介面顯示一提示該互動OTP密碼輸入錯誤之回應訊息,且設定在管理伺服器連續驗證對應於該QR code之互動OTP密碼錯誤超過預定次數即將該用戶端鎖定。
  3. 如申請專利範圍第1項所述之QR code互動OTP密碼認證方法,其中,所述QR code互動OTP密碼認證方法,係由使用者以一行動裝置透過使用者介面向該管理伺服器註冊,且經管理伺服器發送認證簡訊訊息(SMS)至該行動裝置,由使用者利用簡訊訊息(SMS)透過無線網路接收密碼產生器程式下載及安裝。
  4. 如申請專利範圍第1項或第2項所述之QR code互動OTP密碼認證方法,其中,所述QR code互動OTP密碼認證方法,係在驗證對應於該QR code之互動OTP密碼正確無誤之同時,由管理伺服器將對應於該QR code之驗證碼回傳至使用者介面,供使用者確認顯示於使用者介面之驗證碼與行 動裝置所產生之驗證碼是否一致,以供使用者判斷該使用者介面所屬網頁之合法性。
TW101139580A 2012-10-25 2012-10-25 QR code interactive OTP password authentication method TWI473507B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW101139580A TWI473507B (zh) 2012-10-25 2012-10-25 QR code interactive OTP password authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW101139580A TWI473507B (zh) 2012-10-25 2012-10-25 QR code interactive OTP password authentication method

Publications (2)

Publication Number Publication Date
TW201417597A TW201417597A (zh) 2014-05-01
TWI473507B true TWI473507B (zh) 2015-02-11

Family

ID=51294016

Family Applications (1)

Application Number Title Priority Date Filing Date
TW101139580A TWI473507B (zh) 2012-10-25 2012-10-25 QR code interactive OTP password authentication method

Country Status (1)

Country Link
TW (1) TWI473507B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI612436B (zh) * 2016-12-30 2018-01-21 臺灣銀行股份有限公司 自然人憑證認證方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101038653A (zh) * 2006-03-17 2007-09-19 日立软件工程株式会社 验证系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101038653A (zh) * 2006-03-17 2007-09-19 日立软件工程株式会社 验证系统

Also Published As

Publication number Publication date
TW201417597A (zh) 2014-05-01

Similar Documents

Publication Publication Date Title
TWI522836B (zh) Network authentication method and system for secure electronic transaction
CN104469767B (zh) 一套移动办公系统中集成式安全防护子系统的实现方法
US8214892B2 (en) Password authentication system and methods
JP4861417B2 (ja) 拡張ワンタイム・パスワード方法および装置
CN100576797C (zh) 基于指纹的网络身份验证方法
KR101028882B1 (ko) 휴대단말기를 이용한 otp 방식의 사용자인증 시스템 및 방법
CN101334884A (zh) 提高转账安全性的方法和系统
JP4334515B2 (ja) サービス提供サーバ、認証サーバ、および認証システム
US20120221862A1 (en) Multifactor Authentication System and Methodology
JP2018502410A (ja) 共通識別データ置換システムおよび方法
TW201325175A (zh) 一種隨機動態密碼確認機制
KR101206854B1 (ko) 고유식별자 기반 인증시스템 및 방법
Sarjiyus et al. Improved online security framework for e-banking services in Nigeria: A real world perspective
KR101498120B1 (ko) 클라우드 공인인증 시스템 및 그 방법
TWI473507B (zh) QR code interactive OTP password authentication method
US10701105B2 (en) Method for website authentication and for securing access to a website
Kiljan et al. What you enter is what you sign: Input integrity in an online banking environment
Xie et al. VOAuth: A solution to protect OAuth against phishing
Certic The Future of Mobile Security
Han et al. Anti-phishing by smart mobile device
CN114830092A (zh) 用于防御恶意程序代码注入的系统和方法
TWM453183U (zh) QR code互動OTP密碼認證裝置
KR20150104667A (ko) 인증 방법
TWM551721U (zh) 配合一行動裝置實現的無密碼登入系統
JP2003264551A (ja) 通信端末とサーバとのセキュリティ確保方法