本发明专利技术公开一种识别暴力破解的方法及装置,涉及数据安全技术领域,能够解决现有技术中识别暴力破解效率低的问题。本发明专利技术的方法包括:获取用于登录当前系统的用户名和密码,所述当前系统中预先注册有满足预设密码强度范围的密码和对应的用户名;根据所述预设密码强度范围,对获取的密码进行密码强度校验;若所述获取的密码未通过密码强度校验,则判断请求登录所述当前系统的终端使用获取的用户名登录所述当前系统的过程中,连续未通过密码强度校验的次数是否达到预设次数阈值;若达到所述预设次数阈值,则确定所述终端为暴力破解终端。本发明专利技术主要适用于账户登录的场景中。
【技术实现步骤摘要】
识别暴力破解的方法及装置
本专利技术涉及数据安全
,特别是涉及一种识别暴力破解的方法及装置。
技术介绍
现有的应用程序都是通过用户名和密码的形式进行注册登录的,例如用户若想使用邮箱,则需要先使用用户名和密码进行注册,待注册通过后,用户就可以在登录界面输入之前注册的用户名和密码进入邮箱首页。虽然密码在一定程度上能够保证账号的安全,但是黑客通过暴力破解(即穷举法)的方式却很容易成功破解密码。为了识别出暴力破解终端,以防止该暴力破解终端继续破解其他账号,现有的识别方式是服务器将终端发送的用户名和密码与数据库中预先注册的用户名和密码进行匹配,若匹配失败,则记录登录失败1次,直至该终端使用同一用户名进行登录的过程中,连续N次都匹配失败时,确定该终端为暴力破解终端,其中N为正整数。然而,在识别暴力破解终端的过程中,由于每次验证用户身份时都必须花费大量时间将用户名和密码与数据量较大的数据库进行匹配,所以使得识别暴力破解的效率大大降低。
技术实现思路
有鉴于此,本专利技术提供一种识别暴力破解的方法及装置,能够解决现有技术中识别暴力破解效率低的问题。第一方面,本专利技术提供了一种识别暴力破解的方法,所述方法包括:获取用于登录当前系统的用户名密码,所述当前系统中预先注册有满足预设密码强度范围的密码和对应的用户名;根据所述预设密码强度范围,对获取的密码进行密码强度校验;若所述获取的密码未通过密码强度校验,则判断请求登录所述当前系统的终端使用获取的用户名登录所述当前系统的过程中,连续未通过密码强度校验的次数是否达到预设次数阈值;若达到所述预设次数阈值,则确定所述终端为暴力破解终端。第二方面,本专利技术提供了一种识别暴力破解的装置,所述装置包括:获取单元,用于获取用于登录当前系统的用户名和密码,所述当前系统中预先注册有满足预设密码强度范围的密码和对应的用户名;校验单元,用于根据所述预设密码强度范围,对所述获取单元获取的密码进行密码强度校验;判断单元,用于当所述获取的密码未通过密码强度校验时,判断请求登录所述当前系统的终端使用获取的用户名登录所述当前系统的过程中,连续未通过密码强度校验的次数是否达到预设次数阈值;确定单元,用于当达到所述预设次数阈值时,确定所述终端为暴力破解终端。第三方面,本专利技术提供了一种存储介质,所述存储介质存储有多条指令,所述指令适用于由处理器加载并执行如第一方面所述的识别暴力破解的方法。第四方面,本专利技术提供了一种服务器,所述服务器包括存储介质和处理器;所述处理器,适于实现各指令;所述存储介质,适于存储多条指令;所述指令适于由所述处理器加载并执行如第一方面所述的识别暴力破解的方法。借由上述技术方案,本专利技术提供的识别暴力破解的方法及装置,能够让用户注册满足预设密码强度范围的密码和对应的用户名,在后续用户登录当前系统的过程中,在当前系统的服务器获取到用于登录当前系统的密码和用户名后,并不是直接通过将该用户名和密码与数据量较大的预先注册的用户名和密码进行匹配的方式来识别暴力破解终端,而是通过对获取的密码进行密码强度校验的方式来识别暴力破解终端,即只要该终端使用同一用户名登录当前系统的过程中,连续未通过密码强度校验的次数达到预设次数阈值,就将该终端确定为暴力破解终端,从而提高了识别暴力破解的效率。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了本专利技术实施例提供的一种识别暴力破解的方法的流程图;图2示出了本专利技术实施例提供的另一种识别暴力破解的方法的流程图;图3示出了本专利技术实施例提供的一种账号注册过程中终端与服务器的交互图;图4示出了本专利技术实施例提供的一种账号登录过程中终端与服务器的交互图;图5示出了本专利技术实施例提供的一种识别暴力破解的装置的组成框图;图6示出了本专利技术实施例提供的另一种识别暴力破解的装置的组成框图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。为了提高识别暴力破解的效率,本专利技术实施例提供了一种识别暴力破解的方法,如图1所示,所述方法包括:101、获取用于登录当前系统的用户名和密码。其中,所述当前系统中预先注册有满足预设密码强度范围的密码和对应的用户名,也就是说,只有密码强度满足预设密码强度范围的密码才能注册成功。由于密码强度越强,被他人破解的可能性就越小,所以预设密码强度范围可以为“大于或者等于预设强度阈值”。102、根据所述预设密码强度范围,对获取的密码进行密码强度校验。当预设密码强度范围为大于或者等于预设强度阈值时,对密码进行密码强度校验的具体实现方式可以为:判断获取的密码是否大于或者等于预设强度阈值;若获取的密码大于或者等于预设强度阈值,则确定获取的密码通过密码校验;若获取的密码小于预设强度阈值,则确定获取的密码未通过密码强度校验。需要补充的是,为了进一步降低暴力破解的风险,还可以增加验证码的校验。当存在验证码的校验时,对于校验验证码的步骤和校验密码的密码强度的步骤,不限定先后顺序。可以是先校验验证码,待通过验证码校验时,再校验密码的密码强度;也可以是先校验密码的密码强度,待通过密码强度校验时,再校验验证码;也可以是两者同时校验。103、若所述获取的密码未通过密码强度校验,则判断请求登录所述当前系统的终端使用获取的用户名登录所述当前系统的过程中,连续未通过密码强度校验的次数是否达到预设次数阈值。黑客在编写暴力破解程序破解密码的过程中,往往是先从密码强度较弱的密码开始尝试,若多次尝试失败,再逐渐增强密码强度进行尝试。因此,若连续多次使用密码强度较弱的密码请求登录当前系统,则请求登录的终端可能是暴力破解终端,故而为了识别出暴力破解终端,在确定本次获取的密码未通过密码强度校验后,可以判断一下到目前为止,请求登录当前系统的终端使用本次获取的用户名登录当前系统的过程中,连续未通过密码强度校验的次数是否达到预设次数阈值,若达到预设次数阈值,则执行步骤104,即确定该终端为暴力破解终端,若未达到预设次数阈值,则确定该终端不是暴力破解终端。其中,预设次数阈值是根据全网暴力破解终端的暴力破解行为进行统计而得。当获取的密码未通过密码强度校验时,说明该密码不可能是用户预先注册的密码,因此可以确定本次登录失败。为了让用户可以获知登录失败,可以向终端返回登录失败提示信息。104、若达到所述预设次数阈值,则确定所述终端为暴力破解终端。当确定该终端是暴力破解终端之后,若该终端再次请求登录当前系统,则无需进行密码强度校验,直接返回登录失败提示信息。也就是说,当接收到终端发送的账号登录请求后,可以先判断该终端是否为暴力破解终端,若是暴力破解终端本文档来自技高网...
【技术保护点】
一种识别暴力破解的方法,其特征在于,所述方法包括:获取用于登录当前系统的用户名和密码,所述当前系统中预先注册有满足预设密码强度范围的密码和对应的用户名;根据所述预设密码强度范围,对获取的密码进行密码强度校验;若所述获取的密码未通过密码强度校验,则判断请求登录所述当前系统的终端使用获取的用户名登录所述当前系统的过程中,连续未通过密码强度校验的次数是否达到预设次数阈值;若达到所述预设次数阈值,则确定所述终端为暴力破解终端。
【技术特征摘要】
1.一种识别暴力破解的方法,其特征在于,所述方法包括:获取用于登录当前系统的用户名和密码,所述当前系统中预先注册有满足预设密码强度范围的密码和对应的用户名;根据所述预设密码强度范围,对获取的密码进行密码强度校验;若所述获取的密码未通过密码强度校验,则判断请求登录所述当前系统的终端使用获取的用户名登录所述当前系统的过程中,连续未通过密码强度校验的次数是否达到预设次数阈值;若达到所述预设次数阈值,则确定所述终端为暴力破解终端。2.根据权利要求1所述的方法,其特征在于,在获取用于登录当前系统的用户名和密码之后,所述方法还包括:确定所述获取的用户名的风险等级,所述风险等级是根据用户名对应的密码被暴力破解的次数进行划分的;若所述风险等级满足第一等级范围,则向所述终端发送与所述风险等级相对应的、用于验证用户身份的其他验证问题,以便接收到所述终端发送的验证答案后,对所述验证答案进行正确性校验;若所述风险等级满足第二等级范围,则向所述终端发送提高密码强度提示信息,以便所述终端接收到所述提高密码强度提示信息后,修改原始密码以提高密码强度。3.根据权利要求1或2所述的方法,其特征在于,在确定所述终端为暴力破解终端之前,所述方法还包括:向所述终端发送预先设置的用于修改密码时使用的用户身份验证问题;接收所述终端发送的验证答案;所述确定所述终端为暴力破解终端包括:若所述验证答案错误,则确定所述终端为暴力破解终端。4.根据权利要求3所述的方法,其特征在于,在确定所述终端为暴力破解终端之后,所述方法还包括:将所述终端的终端标识保存至暴力破解数据库中。5.根据权利要求1所述的方法,其特征在于,若所述获取的密码未通过密码强度校验,则所述方法还包括:向所述终端返回登录失败提示信息;和/或,将所述...
【专利技术属性】
技术研发人员:马东辉,周文来,
申请(专利权)人:北京车和家信息技术有限责任公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。