論附加碼在網路安全中的作用

在計算機安全領域中，相信大家對窮舉密碼破解和字典密碼破解這兩個名詞一定耳聞詳熟了，對於一些黑客或準黑客來說，這是最常用的有效獲得別人密碼的方法。

在網路飛速發展的今天，網速已不在成為網路訪問的瓶頸，在為人們上網提供更快的訪問速度的同時也給黑客們提供了更廣闊的發展空間，**破解越來越大地威脅著網路安全。本文就談談在網路上，使用附加碼的方法阻擋來自html頁面提交的窮舉的方法中的矛與盾。

如果你對網路有一些了解，在你上網的時候你應當被一些頁面要求填寫附加碼的表單才能正常進入你的帳號。更進一步，如果你對安全有一些了解，你一定知道有專門的破解工具可以**破解別人bbs帳號或**郵件賬號密碼的工具，如大名鼎鼎的小榕之朔雪。那麼附加碼與朔雪類工具軟體有什麼聯絡呢？可以簡單地說，附加碼可以有效防止朔雪對你的攻擊。

為什麼附加碼又有如此威力呢？我們先簡單分析窮舉的原理。窮舉法攻擊最重要的乙個條件是：密碼在攻擊期間內不能變化。它總能在所有字母組合中通過不斷地「試」直到成功的方法找到真正的密碼。所以窮舉法也可以叫排除法，和警察排除犯罪謙疑人差不多。那麼，能不能在身份驗證的時候加入動態的驗證內容，使每一次身份驗證時都輸入不同的驗證碼來防止類似攻擊呢？能！那就是附加碼！附加碼在web伺服器上隨機產生並記下來，再生成文字傳給使用者，使用者照著手動輸入提交，伺服器對提交的附加碼與記下來的附加碼對比一下正不正確就完成了驗證。因為每一次產生有附加碼是隨機的，所以朔雪就無能為力了。

但這也不是說有了附加碼就高枕無憂了。那還得看你對附加碼的認識和重視程度如何。

想一想，既然web伺服器都把附加碼傳給了瀏覽器，哪為什麼朔雪就不能把它讀出來自動填上呢？理論上完全可以，只是朔雪沒有那樣做罷了。

哪不是附加碼就沒用了嗎？也不是，下面我們再來看看什麼樣的附加碼是最安全的。

一、如果返回的附加碼以文字形式返回。這是不管用的一種附加碼。攻擊者簡單提取文字附加碼自動填上就可以了。這種附加碼對安全一點幫助都沒有，反而加大了使用者的輸入負擔。[順便提一句：我看到有些**的附加碼輸入框是密碼型別的輸入框，輸入顯示*號，想一想，附加碼都顯示出來了，還用密碼型別的輸入框有何用？這是對使用者的一種愚弄！]

二、以方式返回附加碼。這才算是真正有效的附加碼。因為是以點的方式而不是字元方式呈現給使用者的，朔雪就不能直接讀到附加碼了。這種方法很有效。但世上的事物總是矛與盾的較量。攻擊者還可以用識別技術識別上的字元，把字元還原為文字字元。這是完全可行的。那我們該如何防範呢？加大識別難度！

三、返回加干擾的附加碼。這才算是真正實用的附加碼。如果我們加干擾就可以有效加大識別難度。有些**的附加碼是加了干擾點的，有些是變了色的字，等等不一而足。試想一下，如果別人花一秒鐘才能識別出上的附加碼，或者他的識別率不高，那窮舉法不是就變得毫無實際意義了？對。但遺憾的是現實中，附加碼的干擾要不是沒有，要不是干擾強度不夠。單純地加干擾點或變色或變字元的大小等都是不夠的。我作了乙個測試小軟體，它可以識別出現有的90%以上的不同形式的附加碼，任何字型，任何字元，任何顏色，任何大小均可100%識別成功！可識別jpg，bmp，gif三種流行格式，而我只花了兩天功夫就完成了。我試過幾個包括騰訊在內的大型**，結果令人失望，100%的識別率讓我大跌眼鏡。根據我總結的經驗，干擾這樣加是最有效的：隨機漸變色（包括文字和背景）+所有可列印字元+字元大小隨機變化+位置不固定+象素行或列隨機錯位。這樣的附加碼要想要破解基本上是不可能了。但別把變得連人眼都認不出了。

另外，如果要有效防止**窮舉破解，採用帳戶鎖定辦法是最最有效的一種方法，即在使用者輸錯密碼指定的次數後，凍結帳戶一段時間，使**破解失效

論附加碼在網路安全中的作用

論附加碼在網路安全中的作用

論使用附加碼方法在網路安全中的作用

反黑防黑簡單論述附加碼在網路安全中所起的作用

論附加碼在網路安全中的作用

論附加碼在網路安全中的作用

論使用附加碼方法在網路安全中的作用

反黑防黑 簡單論述附加碼在網路安全中所起的作用

相關推薦

反黑防黑簡單論述附加碼在網路安全中所起的作用