使用口令卡登錄

geel

其實不新鮮，icbc網(wǎng)銀的口令卡以及眾多網(wǎng)游的密保卡就是這種東西，程序生成 N*M 的表格，進行敏感操作時給出一組坐標(biāo)，輸入坐標(biāo)對應(yīng)的值即可。

演示地址
http://jestery.3322.org/codetable/

注冊之后給一個口令卡的圖
登錄時找坐標(biāo)輸入就行。

實際應(yīng)用時應(yīng)該在敏感操作以及非常用操作下使用，否則太麻煩。

update:
看了幾位的發(fā)言，感覺并沒有從這個問題深入。發(fā)此貼的本意不在于“口令卡”這個方式本身，就像驗證碼的出現(xiàn)到變形的驗證碼甚至中文驗證碼，我們需要的是要找到一種安全和簡單之間的平衡點，做到不增加太大復(fù)雜性和成本的同時，越來越安全。https解決了明文傳送被監(jiān)聽，驗證碼抵擋了機器用戶，口令卡解決了單一密碼泄露。在web的非敏感操作方面，一方面是用戶眾多水平不一，另一方面是運算能力有限，因此我們不可能采用證書或其它復(fù)雜的認證方法，那什么不太復(fù)雜的辦法在這種情境下能更安全呢？這才是我們需要考慮的。將這么古老的話題再次提起就是讓大家再重新思考這個問題，仔細想為什么要這樣做，是否有更好的方法，而不是一味的去看一項技術(shù)的本身。我希望大家有發(fā)散的想法，8樓的發(fā)言就是一個比較好的開始，真正的從一個用戶的角度去看問題，并且提出了自己的解決方法


[ 本帖最后由 geel 于 2008-6-14 19:23 編輯 ]

zjq8188

提供代碼吧

ipaddr

沒啥技術(shù)含量吧.

密碼卡存數(shù)據(jù)庫,并打印一份給用戶,驗證時對比一下就知道了.

密碼卡上的不同位置的密碼都是隨機的.

geel

原帖由 ipaddr 于 2008-6-13 22:14 發(fā)表
沒啥技術(shù)含量吧.

密碼卡存數(shù)據(jù)庫,并打印一份給用戶,驗證時對比一下就知道了.

密碼卡上的不同位置的密碼都是隨機的.

不是什么都要看“技術(shù)”地，注意力別只放到程序本身，仔細看看會發(fā)現(xiàn)php之外其它東西地；）

ucweb回貼比opera差多了：（

[ 本帖最后由 geel 于 2008-6-13 23:18 編輯 ]

ipaddr

原帖由 geel 于 2008-6-13 23:16 發(fā)表

不是什么都要看“技術(shù)”地，注意力別只放到程序本身，仔細看看會發(fā)現(xiàn)php之外其它東西地；）

ucweb回貼比opera差多了：（

二樓的說要代碼，我只是提一下思路而已。

除了技術(shù)，你認為還有啥重要？？？

這種應(yīng)用，很多地方都用上了，確實朋可取之處。

ipaddr

密碼卡的每個位置的密碼，可以隨機生成，但要記錄所有的位置的密碼。

也可以只記錄一個密匙，將此密匙和每個位置參數(shù)進行一定運算，得到密碼。（每個用戶的密匙應(yīng)該是隨機生成的，加密算法要注意保密。）

zjq8188

要求提供代碼參考下

一地風(fēng)飛

密碼卡放在u盤,登錄時直接上傳,程序去讀取判斷,會不會更好?

剛才試了下,要查找這幾個數(shù)的密碼,也不會很方便

geel

原帖由 ipaddr 于 2008-6-14 10:16 發(fā)表
密碼卡的每個位置的密碼，可以隨機生成，但要記錄所有的位置的密碼。

也可以只記錄一個密匙，將此密匙和每個位置參數(shù)進行一定運算，得到密碼。（每個用戶的密匙應(yīng)該是隨機生成的，加密算法要注意保密。）

這個不錯，不過俺數(shù)學(xué)不好

geel

原帖由 ipaddr 于 2008-6-14 10:09 發(fā)表


二樓的說要代碼，我只是提一下思路而已。

除了技術(shù)，你認為還有啥重要？？？

這種應(yīng)用，很多地方都用上了，確實朋可取之處。

要學(xué)會別把注意力只放在事物表面