反口令攻击密码验证技术制造技术

一种可以广泛用于各种需要对密码进行验证的程序及装置的反口令攻击密码验证技术。它是在对密码的验证过程中加入一段时间的延迟或者加入冗余的运算，以延长每次验证所需的时间，从而延长破解密码所需的时间，增强密码的安全性。（*该技术在2023年保护过期，可自由使用*）

【技术实现步骤摘要】

本专利技术用于使用密码或其它具有单一性信息(如声音、指纹等)作为密码进行区分使用者或进入者合法性的程序或装置，以增强其安全性。本专利技术解决其技术问题所采用的技术方案是在密码验证程序或装置中，当需要密码(或被用作密码的其它单一性信息)与某一字符串(如用户名、ID号、卡号用户组名等)相对应使用时，限制同一字符串可被同时使用的数量，及其在上一次通过验证后被累计使用的数量。当用户输入密码或其它单一性信息及对应的字符串并要求给予验证后，程序首先检验对应字符串是否在密码表中的某一组中，再检验对应字符串的同时使用量和累计使用量是否超过程序限定值，若对应字符串不在密码表中或使用量超限，则延长一段时间后(时间长度为预先设定)，通知用户并作相应处理(如关闭程序、报警、限制下次验证的时间等)。若对应字符串合法且使用量未超限或者不需要密码与其它字符串相对应使用，则在延长一段预先设定的时间后(此段时间长度视具体应用情况对安全性和快捷性的要求进行设定，前述时段据此段时长进行设定)，程序验证密码的合法性，若密码非法则通知用户并做相应处理，若密码合法则将其对应字符串累计使用量归零，完成验证过程，程序或装置进行后续操作。在某些对安全性要求较高的应用中，可将时间上的延迟换为或是另行增加对密码进行大量的冗余运算(不同现有技术中对密码进行的单向运算，而是不以运算结果为目的的，不必要的运算)，将此冗余运算与单向运算相结合，使冗余运算与必要的单向运算无法相剥离，以进一步增强程序的安全性。也可以将冗余运算与时间延迟并行设制，即限制进行冗余运算的时间不低于预设值。在某些对安全性要求较低且需要密码与字符串相对应使用的应用中，可以在对同一字符串及密码进行首次验证时不予延迟，直接进行验证，只有在首次验证未通过之后的再次验证中延迟一段预设的时间。另外，可以对两次验证的相隔时间进行限制，以确保用户为手工修改输入错误的密码而非在使用口令攻击。本专利技术的有益效果以较小的时间上的延迟换取密码平均破解时间的极大延长，大幅度提高了密码验证程序的安全性，并使用户无需再使用冗长复杂的密码来维护系统的安全性。其次本专利技术的实现较为容易，不需要对原有程序进行较大的改动，不增加软件和硬件成本。例如以暴力破解法对六位长的数字与英文大小写混杂的密码进行破解，若验证程序每次的延迟设为20秒，不进行冗余运算，不计算机器的运算耗时和传输时间，只计算每次延迟的20秒，那么其平均破解时间也将至少为18012年。这么长的平均破解时间足以让我们认为它是安全的，而且有资料表明低于七位长的密码是较容易记忆的。例如应用在普通email邮箱密码的验证程序中，因为网络的特性所以程序须限制同时可处理的验证请求数量，以防被拒绝服务攻击；同时须限制来自同一地址的验证请求数量，过多的请求很可能是有人在进行口令攻击；还须限制同一用户名被同时使用的数量及累计错误量；因为网络的传输较慢及用户对普通邮箱的安全性要求不高，所以可以在对同一用户名进行首次验证时不予延迟，只在错误后的再次验证中再延迟10至30秒左右即可，并且，限制两次验证相隔的时间最少为3秒。对于机密邮箱或网络管理员登录密码等应用，首次验证不延时则是不可取的。另外，一般情况下，在网络应络应用中加入冗余运算也是不可取的，因为比较容易成为拒绝服务攻击的对象。再例如，在电子密码锁的应用中，分为两种情况。一种是多个终端点的(如一栋大楼中多个密码门的控制)，则其对地址和用户名的限制可参照网络应用进行设制。另一种是终端点较少或仅为一个的情况下，对地址和用户名的限制已意义不大。对于电子密码锁，时间的延迟与冗余运算的并行设制是较为理想的方案，最好能将冗余运算与单向运算结合起来。另外可以将两次验证间隔设长一点更为安全。权利要求一种反口令密码验证技术，使用密码或其它具有单一性的信息作为密码，通过查找输入的密码是否为密码表中的合法值来区分使用者或进入者身份的合法性，其特征为在密码验证过程中加入一段时间上的延迟，或者进行不以计算结果为目的的冗余运算，或者将冗余运算加入到原有单向运算中以延长每次验证所需时间，以延长密码验证程序在面对口令攻击时的平均破解时间，从而增强密码验证程序的安全性。全文摘要一种可以广泛用于各种需要对密码进行验证的程序及装置的反口令攻击密码验证技术。它是在对密码的验证过程中加入一段时间的延迟或者加入冗余的运算，以延长每次验证所需的时间，从而延长破解密码所需的时间，增强密码的安全性。文档编号G09C1/00GK1444190SQ0310656公开日2003年9月24日 申请日期2003年3月3日 优先权日2002年7月25日专利技术者姜斌 申请人:姜斌本文档来自技高网...

【技术保护点】
一种反口令密码验证技术，使用密码或其它具有单一性的信息作为密码，通过查找输入的密码是否为密码表中的合法值来区分使用者或进入者身份的合法性，其特征为：在密码验证过程中加入一段时间上的延迟，或者进行不以计算结果为目的的冗余运算，或者将冗余运算加入到原有单向运算中以延长每次验证所需时间，以延长密码验证程序在面对口令攻击时的平均破解时间，从而增强密码验证程序的安全性。

【技术特征摘要】
...

【专利技术属性】
技术研发人员：姜斌，
申请(专利权)人：姜斌，
类型：发明
国别省市：15[中国|内蒙]