本发明专利技术的识别网站登录口令数据传输安全性的方法,通过以下步骤来实现:a).获取包含用户名和口令的Request请求;b).分析口令生成类型;c).分析登录网站属于HTTP还是HTTPS协议。本发明专利技术的识别网站登录口令数据传输安全性的方法,通过判断登录网站的口令是采用明文传输、某编码或加密传输还是基于某变量的口令生成算法传输方式,并结合网站的传输协议来综合判定用户输入的口令在数据传输时的安全性,可以帮助用户获得非常直观易懂的获知网站口令在数据传输层面的安全性能,对网站可能存在的安全隐患了解更深入,提醒用户在登录时存在哪些安全等级非常差的网站,提高用户账号的安全性。
【技术实现步骤摘要】
一种识别网站登录口令数据传输安全性的方法
本专利技术涉及一种识别网站登录口令数据传输安全性的方法,更具体的说,尤其涉及一种能分析判断出登录口令生成方式及网站数据传输协议类型的识别网站登录口令数据传输安全性的方法。
技术介绍
随着互联网的繁荣发展,越来越多的服务商采用CS架构(服务器-客户机,即Client-Server结构),将功能模块放置在自己的服务器上,而客户端访问软件只需要浏览器就足够使用,这种架构使得服务提供商维护和更新变得更加简单和高效。基于浏览器访问服务模块最简单也最普遍的就是采用网站注册和登录的方式,通过对用户登录凭据的认证决定是否是可信用户以及何种级别权限的用户。用户的这种登录认证方式,通常都会提供一个账号登录界面,允许用户输入账号和口令,与后台数据库匹配来进行登录验证。对于大部分用户来说,只需要记住账号和口令就可以,登录输入的口令部分也是采用type=”password”格式进行了字符隐藏,然而用户对整个登录的验证过程是未知的,对可能的安全威胁也没有概念。目前的登录保护方案中,大部分都是采用复杂度更高的加密算法生成口令密文的方式来增强安全性,以此增加破解难度和提高功耗。已经有一些密码安全性相关的专利,如“密码信息提示方法及装置”(申请号:201310109062.1),用于提示用户的密码文本是否有较高的密码强度;如用于确定密码强度的方法、装置和计算机程序产品(申请号:201280073367.5),设计了一种图像密码强度的分析方法。以上的种种专利都主要着力于对密码本身的防护,其他相似专利中也是强调采用高强度的密码来进行保护。然而,在实际的应用中,登录的网站千差万别,很多网站依然采用安全性不是很高的加密方式,甚至对登录口令不加密或只进行简单的编码处理,使用这些站点进行登录时,即便生成强度再高再复杂的口令,在口令的数据传输过程中也是很容易被捕获到的,从而得到用户的登录凭证,造成账号信息泄露,进而危害用户的个人隐私甚至财产安全等。
技术实现思路
本专利技术为了克服上述技术问题的缺点,提供了一种识别网站登录口令数据传输安全性的方法。本专利技术的识别网站登录口令数据传输安全性的方法,通过以下步骤来实现:a).获取登录请求信息,在用户输入账号和口令进行账户登录时,获取包含用户名和口令的Request请求;b).分析口令生成类型,通过获取的用户名和口令内容,分析判断口令的生成方式,并给出相应的安全性提示;c).分析网站协议类型,分析判断出账户登录网站属于HTTP协议还是HTTPS协议,并给出相应安全性提示。本专利技术的识别网站登录口令数据传输安全性的方法,步骤a)所述的获取登录请求信息通过以下步骤来实现:a-1).页面监控,用户访问网络站点,当访问登录页面进行账户登录或者访问后台管理页面进行后台登录时,对页面进行监控;a-2).登录过程抓包,监控用户的账号及口令登录操作,当输入完账号、口令和验证码,并点击登录按钮操作时,对登录过程进行抓包,获取Request请求;a-3).判断请求是GET型Request包还是POST型Request包,如果是GET型Request包,则记录其URL中的属性值,并查找是否有登录用户名和口令信息,如果存在则查找出口令的传输值;如果不存在则执行步骤a-2),继续抓包监控登录过程中,直至在请求数据中找到提交的用户名和口令信息;如果是POST型Request包,则执行步骤a-4);a-4).如果是POST型Request包,则分析抓取的POST包中提交的数据内容,查看FormData,搜索是否包含输入的用户名和口令值,如果包含,则查找出用户名和口令值,如果不包含,则执行步骤a-2)继续抓包。本专利技术的识别网站登录口令数据传输安全性的方法,步骤b)所述的分析口令数据内容生成类型通过以下步骤来实现:b-1).判断是否为明文传输,判断用户的口令输入值与抓包获取的口令传输值是否相等,如果相等,则表明登录网站口令未采用任何编码和加密,使用明文传输,安全性最低,给出“网站采用口令明文保存传输,安全性最低”的提示;如果不相等,表示不是明文传输,执行步骤b-2);b-2).如果口令不是明文传输,则将口令传输值与口令输入值经规则数据库中各种已知编码和加密方式生成的密文进行比较匹配,如果匹配成功,则表明网站采用的是规则数据库中某编码或加密方式进行保存传输,并给出“网站采用某种已知编码或加密方式保存传输,易遭受重放和暴力猜解攻击,可能泄露明文”的提示;如果匹配不成功,则执行步骤b-3);b-3).如果规则数据库中无法匹配,则再次提交相同的用户名和口令,抓包查看此次口令传输值与第一次获取的传输值是否相同,如果相同,则认为是一种规则数据库中暂未加入的新的编码或加密方式,将口令输入值和对应的口令传输值保存并添加到规则数据库中,并命名为一种新的加密规则,给出“网站采用某新编码或加密方式保存传输,易受到重放攻击和暴力猜解攻击”的提示;如果两次抓包的口令传输值不同,则执行步骤b-4);b-4).如果两次抓包的口令传输值不同,则判定传输值生成算法基于某变量,存在一个变化的种子参数,将此网站标记为口令生成安全,给出“网站口令生成具有抗重放性和抗爆破性,口令生成安全”的用户提示。本专利技术的识别网站登录口令数据传输安全性的方法,步骤c)所述的分析网站协议类型通过以下步骤来实现:c-1).判断网站采用的是HTTP传输协议还是HTTPS传输协议,如果采用的是HTTP传输协议,则提示用户“网站采用HTTP协议传输,明文传输,容易被嗅探,安全等级低”;c-2).如果网站采用的是HTTPS传输协议,则提示用户“网站采用HTTPS协议传输,密文传输,不易被攻击,安全等级高”。本专利技术的有益效果是:本专利技术的识别网站登录口令数据传输安全性的方法,首先通过抓包的方式获取用户登录时的请求信息,并分析查找出用户名(即账号)和口令值,通过分析口令传输值与口令输入值、口令输入经规则数据库中编码或加密方式生成的口令传输值或者两次抓包获取的口令传输值之间的关系,判断出登录网站的口令是采用明文传输、某编码或加密传输还是基于某变量的口令生成算法传输方式,并结合网站的传输协议来综合判定用户输入的口令在传输时的安全性,并在用户登录时给出安全性提醒。这样,可以帮助用户获得非常直观易懂的获知网站口令在数据传输层面的安全性能,对网站可能存在的安全隐患了解更深入,提醒用户在登录时存在哪些安全等级非常差的网站,有利于用户对当前登录网站的口令安全性做出评估,提高用户账号的安全性。附图说明图1为本专利技术的识别网站登录口令数据传输安全性的方法的流程图;图2为本专利技术中获取Request请求参数中包含用户名和口令传输值的方法流程图;图3为本专利技术中根据获取的口令传输值以及现有规则数据库进行编码或加密算法识别并输出用户提示的方法流程图;图4为本专利技术中识别网站协议并输出用户提示的方法流程图。具体实施本文档来自技高网...
【技术保护点】
1.一种识别网站登录口令数据传输安全性的方法,其特征在于,通过以下步骤来实现:/na).获取登录请求信息,在用户输入账号和口令进行账户登录时,获取包含用户名和口令的Request请求;/nb).分析口令生成类型,通过获取的用户名和口令内容,分析判断口令的生成方式,并给出相应的安全性提示;/nc).分析网站协议类型,分析判断出账户登录网站属于HTTP协议还是HTTPS协议,并给出相应安全性提示。/n
【技术特征摘要】
1.一种识别网站登录口令数据传输安全性的方法,其特征在于,通过以下步骤来实现:
a).获取登录请求信息,在用户输入账号和口令进行账户登录时,获取包含用户名和口令的Request请求;
b).分析口令生成类型,通过获取的用户名和口令内容,分析判断口令的生成方式,并给出相应的安全性提示;
c).分析网站协议类型,分析判断出账户登录网站属于HTTP协议还是HTTPS协议,并给出相应安全性提示。
2.根据权利要求1所述的识别网站登录口令数据传输安全性的方法,其特征在于,步骤a)所述的获取登录请求信息通过以下步骤来实现:
a-1).页面监控,用户访问网络站点,当访问登录页面进行账户登录或者访问后台管理页面进行后台登录时,对页面进行监控;
a-2).登录过程抓包,监控用户的账号及口令登录操作,当输入完账号、口令和验证码,并点击登录按钮操作时,对登录过程进行抓包,获取Request请求;
a-3).判断请求是GET型Request包还是POST型Request包,如果是GET型Request包,则记录其URL中的属性值,并查找是否有登录用户名和口令信息,如果存在则查找出口令的传输值;如果不存在则执行步骤a-2),继续抓包监控登录过程中,直至在请求数据中找到提交的用户名和口令信息;如果是POST型Request包,则执行步骤a-4);
a-4).如果是POST型Request包,则分析抓取的POST包中提交的数据内容,查看FormData,搜索是否包含输入的用户名和口令值,如果包含,则查找出用户名和口令值,如果不包含,则执行步骤a-2)继续抓包。
3.根据权利要求2所述的识别网站登录口令数据传输安全性的方法,其特征在于,步骤b)所述的分析口令数据内容生成类型通过以下步骤来实现:
b-1).判断是否为明文传输,判断用...
【专利技术属性】
技术研发人员:穆超,杨明,王英龙,杨美红,吴晓明,陈振娅,王彪,
申请(专利权)人:山东省计算中心国家超级计算济南中心,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。