在线身份信息泄露及一种解决方案

本文在分析在线身份泄露的原因的基础上,提出了一种新型身份认证协议及其系统方案。首先,通过引入一个自主的智能输入设备,令所有用户信息的输入与变换处理均在该设备上封闭性完成,从而保证用户输入的原始账号与口令等信息不会泄露;其次,以用户欲访问网站提供的秘密数据为参数,对用户的原始账号与口令进行变换处理,得到因网站秘密数据而异的用户注册或登录该网站的提交账号与口令。这样,即使注册到某个网站的账号口令泄露,也不会影响到到其它网站的身份信息安全;同时用户再无须为了安全而记忆大量账号与口令。最后再将提交账号与口令进行不低于服务安全要求的加密后上传到服务器。运用本方案,可望很大程度上解决在线身份信息泄露问题。

一种防范钓鱼网站的方法

网络钓鱼是在线身份窃取的一种。近年来,网络钓鱼成为了在线身份窃取的主流。要防止网络钓鱼,最重要的是让用户能够识别网站的真伪。本文提出了一种让用户能够有效地识别网站真伪的技术:当用户需要辨别网站真伪时,先输入一个私数,上传到服务器;然后,服务器返回一组与此私数相关的特有的防钓码,用户看到这组防钓码,便知网站真假。由于防钓码因由户给出的私数而异,钓鱼者很难伪造,运用此法可有效的防范钓鱼网站。