論附加碼在網(wǎng)絡(luò)安全中的作用

　本文只想引起那些網(wǎng)站的設(shè)計(jì)者們的注意，同時(shí)也給一些對(duì)安全感興趣的初學(xué)者一些啟示作用

　　在計(jì)算機(jī)安全領(lǐng)域中，相信大家對(duì)窮舉密碼破解和字典密碼破解這兩個(gè)名詞一定耳聞詳熟了，對(duì)于一些黑客或準(zhǔn)黑客來說，這是最常用的有效獲得別人密碼的方法。

　　在網(wǎng)絡(luò)飛速發(fā)展的今天，網(wǎng)速已不在成為網(wǎng)絡(luò)訪問的瓶頸，在為人們上網(wǎng)提供更快的訪問速度的同時(shí)也給黑客們提供了更廣闊的發(fā)展空間，在線破解越來越大地威脅著網(wǎng)絡(luò)安全。本文就談?wù)勗诰W(wǎng)絡(luò)上，使用附加碼的方法阻擋來自HTML頁(yè)面提交的窮舉的方法中的矛與盾。

　　如果你對(duì)網(wǎng)絡(luò)有一些了解，在你上網(wǎng)的時(shí)候你應(yīng)當(dāng)被一些頁(yè)面要求填寫附加碼的表單才能正常進(jìn)入你的帳號(hào)。更進(jìn)一步，如果你對(duì)安全有一些了解，你一定知道有專門的破解工具可以在線破解別人BBS帳號(hào)或在線郵件賬號(hào)密碼的工具，如大名鼎鼎的小榕之朔雪。那么附加碼與朔雪類工具軟件有什么聯(lián)系呢？可以簡(jiǎn)單地說，附加碼可以有效防止朔雪對(duì)你的攻擊。

　　為什么附加碼又有如此威力呢？我們先簡(jiǎn)單分析窮舉的原理。窮舉法攻擊最重要的一個(gè)條件是：密碼在攻擊期間內(nèi)不能變化。它總能在所有字母組合中通過不斷地“試”直到成功的方法找到真正的密碼。所以窮舉法也可以叫排除法，和警察排除犯罪謙疑人差不多。那么，能不能在身份驗(yàn)證的時(shí)候加入動(dòng)態(tài)的驗(yàn)證內(nèi)容，使每一次身份驗(yàn)證時(shí)都輸入不同的驗(yàn)證碼來防止類似攻擊呢？能！那就是附加碼！附加碼在WEB服務(wù)器上隨機(jī)產(chǎn)生并記下來，再生成文字傳給用戶，用戶照著手動(dòng)輸入提交，服務(wù)器對(duì)提交的附加碼與記下來的附加碼對(duì)比一下正不正確就完成了驗(yàn)證。因?yàn)槊恳淮萎a(chǎn)生有附加碼是隨機(jī)的，所以朔雪就無能為力了。

　　但這也不是說有了附加碼就高枕無憂了。那還得看你對(duì)附加碼的認(rèn)識(shí)和重視程度如何。

　　想一想，既然WEB服務(wù)器都把附加碼傳給了瀏覽器，哪為什么朔雪就不能把它讀出來自動(dòng)填上呢？理論上完全可以，只是朔雪沒有那樣做罷了。

　　哪不是附加碼就沒用了嗎？也不是，下面我們?cè)賮砜纯词裁礃拥母郊哟a是最安全的。

　　一、 如果返回的附加碼以文本形式返回。這是不管用的一種附加碼。攻擊者簡(jiǎn)單提取文本附加碼自動(dòng)填上就可以了。這種附加碼對(duì)安全一點(diǎn)幫助都沒有，反而加大了用戶的輸入負(fù)擔(dān)。[順便提一句：我看到有些網(wǎng)站的附加碼輸入框是密碼類型的輸入框，輸入顯示*號(hào)，想一想，附加碼都顯示出來了，還用密碼類型的輸入框有何用？這是對(duì)用戶的一種愚弄！]

億恩科技地址(ADD)：鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]