本发明专利技术提供一种密码验证方法和系统,具体的说是一种“登录账号允许修改、多个密码同时提交验证、基于一定概率触发的一段时间内停用密码验证、输入密码与真实密码匹配指定范围个数字符时一段时间内停用密码验证、记录及统计密码验证失败信息”中任意一项或多项组合技术的密码验证方法和系统。本发明专利技术有效的防范了非法用户破解账户密码的情况,提高账户安全性的同时也不会降低用户体验度。
【技术实现步骤摘要】
一种密码验证方法和系统
本专利技术涉及一种密码验证方法和系统,尤其是一种“登录账号允许修改、多个密码同时提交验证、基于一定概率触发的一段时间内停用密码验证、输入密码与真实密码匹配指定范围个数字符时一段时间内停用密码验证、记录及统计密码验证失败信息”中任意一项或多项组合技术的密码验证方法和系统。
技术介绍
现有密码验证方法有密码验证失败连续几次时通知用户一段时间内停用密码验证,停用密码验证期间用户可以通过手机校验码等方式重置密码。例如支付宝登录密码验证失败连续5次时账户将被锁定3小时,锁定期间可以通过手机校验码方式重置登录密码;支付宝支付密码验证失败连续3次时账户将被锁定3小时,锁定期间可以通过手机校验码+身份证号方式重置支付密码。其方法缺点是非法用户对某账户尝试几次密码验证就可以使其一段时间内停用密码验证,导致其账户真实用户进行密码验证时需等待一段时间或通过手机校验码方式重置密码提高了操作复杂度。如果非法用户通过上述方式攻击了大量账户,将会对系统照成不好的用户体验和发送大量短信增加了运营成本。如果非法用户通过某些途径获取了个别用户的手机及身份证号,用户个人信息及财产将会面临损失风险。即非法破坏低成本,安全防范高成本。另外,现有方法只保存用户登录成功记录,例如招商银行APP的登录日志功能。其缺点是账户被非法用户多次尝试输入密码攻击时真实用户无法获知其过程,等到真实用户发现非法用户登录成功后再采取防范措施为时已晚。
技术实现思路
为了克服现有技术中非法用户攻击行为对系统照成不好的用户体验和发送短信带来的运营成本,更为防范因用户手机丢失及身份证号泄露导致个人信息及财产损失风险,和账户被攻击而无法获知过程的情况,本专利技术提供一种“登录账号允许修改、多个密码同时提交验证、基于一定概率触发的一段时间内停用密码验证、输入密码与真实密码匹配指定范围个数字符时一段时间内停用密码验证、记录及统计密码验证失败信息”中任意一项或多项组合技术的密码验证方法和系统。本专利技术解决其技术问题所采用的技术方案是:一种密码验证方法和系统,共包括5项技术,其中任意一项或多项组合技术均可构成一个技术方案,下面分别对5项技术作说明:技术1(登录账号允许修改):账户信息包括(不限于)“用户账号”、“登录账号”、“第一密码”字段。其中,“用户账号”字段是用户身份标识,不参与密码验证或仅能参与预设连续失败次数内的密码验证,可以通过查找好友、查看个人或好友资料等方式看到,作用等效于QQ号;“登录账号”字段是用户进行密码验证时的用户身份标识,包含但不限于登录场景使用,用户只能查看、修改自己的登录账号,用户可以对其进行修改(及检测与其它用户的登录账号是否重复)并经密码验证成功后保存,下次进行密码验证时将需输入新登录账号,作用等效于“用户名+密码”验证模式中的“用户名”;“第一密码”字段是用户进行密码验证时的密码,作用等效于上述“用户名+密码”验证模式中的“密码”或其它具有密码作用的验证方式(例如手机效验码)。上述用户身份标识的值具有唯一性(不重复)。密码验证方式为登录账号(或用户账号)+第一密码。另外,上述登录账号也可以有多个,设定当第一登录账号进行密码验证失败连续多少次后,停用第一登录账号并启用第二登录账号进行密码验证,只有第二登录账号进行密码验证成功后才能进入系统,重置第一登录账号为启用状态和第二登录账号为停用状态。还可以使用更多的登录账号项参照上述方式进行密码验证,例如第三登录账号。技术1的有益效果是登录账号仅用户自己可见可以提高账户的安全性,当发现非法用户尝试攻击账户时,通过修改登录账号便可使其失去目标,从而禁止其行为。技术2(多个密码同时提交验证):当使用“登录账号”+“第一密码”字段进行密码验证失败连续d1次及以上时,启用保护模式。上述保护模式是指增加一个密码字段,后续使用“登录账号”+“第一密码”+“第二密码”字段同时提交到服务端进行密码验证,只有“第一密码”和“第二密码”都匹配成功时才返回验证成功。登录成功后重置d1计数为0。还可以使用更多的密码字段增强密码验证,例如“第三密码”字段(注意:以上本技术中带有“字母+数字”参数均可由用户或系统设定及生成)。技术2的有益效果是指数级增强了暴力破解难度,暴力破解指穷举法,暴力破解成功的最大尝试次数的计算公式为:(F^L)^P,其中,^代表乘方;F代表字符个数(例如0至9共10个字符);L代表字符位数(例如密码只允许6位数字);P代表密码个数(例如上述保护模式中需输入2个密码)。技术3(基于一定概率触发的一段时间内停用密码验证):设定密码验证失败连续d1次及以上时,系统生成一个1至m1(m1为设定的最大数字)之间的随机数s1,当s1=1时,一段时间内t1停用密码验证并返回密码验证失败消息(非法用户无法获知密码验证是否停用,真实用户通过输入正确密码可以猜到)。登录成功后重置d1计数为0(注意:以上本技术中带有“字母+数字”参数均可由用户或系统设定及生成)。技术3的有益效果是当非法用户对某账户进行暴力破解时,由于不确定尝试验证失败多少次时会使密码验证停用及停用多少时间,导致其做无用功和短时间内无法破解。当真实用户发现账户处于密码验证停用时,通过修改密码(或技术1中登录账号)即可使暴力破解行为失效。技术4(输入密码与真实密码匹配指定范围个数字符时一段时间内停用密码验证):设定输入密码与真实密码(也可以加入多个预设的具有干扰作用的“防破解码”f1参与匹配)匹配指定范围个数字符(字符匹配个数在n1至n2之间)时,一段时间内t1停用密码验证并返回密码验证失败消息(非法用户无法获知密码验证是否停用,真实用户通过输入正确密码可以猜到)(注意:以上本技术中带有“字母+数字”参数均可由用户或系统设定及生成)。技术4的有益效果是当非法用户对某账户进行暴力破解时,由于输入密码与真实密码的字符匹配一定个数时一段时间内密码验证停用,后续输入密码不进行密码验证直接返回密码验证失败消息,从而极大降低了密码被破解的风险。技术5(记录及统计密码验证失败信息):每一次密码验证失败信息均会保存在系统内,用户登录系统后可以查看本账户的密码验证失败信息及统计数据,以此来判断账户安全性,并及时采取防范措施。技术5的有益效果是用户可以监控账户是否被攻击及攻击程度,并及时采取防范措施保护账户安全。需要注意的是:如果一个技术方案包括多项技术,上文中带有“字母+数字”参数在各技术中均可以有不同的值。附图说明附图说明了本专利技术的优选实施例,用于对本专利技术的技术精神进行进一步理解。因此,本专利技术并非仅限于附图。图1为根据本专利技术的第一实施例的密码验证方法进行示意性说明的流程图。图2为根据本专利技术的第二实施例的多个登录账号更换规则的密码验证方法进行示意性说明的流程图。具体实施方式下面参照说明书附图对本专利技术的密码验证方法给出优选的实施例。实施例1:如图1所示,用户输入登录账号[101],系统检测登录账号是否存在[102],若否,提示登录账号不存在消息[103];若是,执行下一步骤。系统检测登录账号是否处于保护模式[201]并控制第二密码输入框的显示/隐藏,若否,用户输入第一密码[202];若是,用户输入第一密码和第二密码[203]。用户提交后,系统检测密码验证是否处本文档来自技高网...
【技术保护点】
1.一种密码验证方法,其特征在于,账户信息包括(不限于)用户账号、登录账号、第一密码字段,其中,用户账号是用户身份唯一标识,不参与密码验证或仅能参与预设连续失败次数内的密码验证,对其它用户可见;登录账号是用户进行密码验证时的用户身份唯一标识,用户仅能查看、修改自己的登录账号;第一密码是用户进行密码验证时的密码,密码验证方式为登录账号(或用户账号)+第一密码。
【技术特征摘要】
1.一种密码验证方法,其特征在于,账户信息包括(不限于)用户账号、登录账号、第一密码字段,其中,用户账号是用户身份唯一标识,不参与密码验证或仅能参与预设连续失败次数内的密码验证,对其它用户可见;登录账号是用户进行密码验证时的用户身份唯一标识,用户仅能查看、修改自己的登录账号;第一密码是用户进行密码验证时的密码,密码验证方式为登录账号(或用户账号)+第一密码。2.根据权利要求1所述的密码验证方法,其特征在于,登录账号可以有多个,其中,当前登录账号进行密码验证失败连续预设次数及以上时[20204],停用当前登录账号并启用下一登录账号进行密码验证[20205],只有下一登录账号进行密码验证成功后[204]才能进入系统[205]及重置多个登录账号的启用/停用状态[20206]。3.一种密码验证方法,其特征在于,密码验证失败连续预设次数及以上时[206],启用保护模式[207],上述保护模式是指增加一个或多个密码项[203]并同时提交到服务端进行密码验证,只有所有密码项都匹配成功时才...
【专利技术属性】
技术研发人员:易胜燕,
申请(专利权)人:易胜燕,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。