你来设计一个更安全的系统

新用户

我们知道在网上，所有的账户系统，电子邮件，论坛账户等等都使用用户名，密码。有了它们你便可以登陆进入你的账户。

 

用户名是用来唯一的确定用户，是公开的。
密码是用来提供安全保护，使你的账户不受侵犯。

 

这个安全吗？无数的事实证明这不安全：

1。你输入账户密码的时候，可能后面有人偷窥了你的输入

2。可能有人在你的电脑上安装了木马，能记录你的输入从而得到你的密码

3。你可能把你的密码告诉你最亲密的朋友，但是他又告诉他最亲密的朋友……经过多个最亲密的朋友，你的密码很可能或落到坏人手中。www.ddhw.com

4。你的密码可能很简单，很容易被猜出，可能与你的姓名，生日，情人的名字生日等有关系。比如说，我以前的密码就是test123，有趣的是，test123恰好也是这里一位朋友的用户名。这么简单的密码，很容易得就可以被人人工或者用软件破解。

5。前阵子流行的phishing，骗取了无数人的密码。我也收到好几封邮件，试图骗取我的paypal account密码，最早的一次是90年代末，我就收到这样的邮件。phishing 是一个很简单的技术，但是却让很多人上当受骗。phishing 现在应该还有很多，对电脑不熟悉的朋友应该当心。（关于phishing，有兴趣的朋友可以看看：http://en.wikipedia.org/wiki/Phishing）

 

所以，单单的使用用户名/密码无法使你的账户安全！

 

那么现在你来提出一个解决办法，让用户的账户更安全，避免我上面提到的用户名/密码的缺陷。

www.ddhw.com

 

色盲

我的两个银行的密码都是4位。。。简单的四位数！！邪门 www.ddhw.com   www.ddhw.org--- 据说这世界是彩色的？

开开心心

  我的三組密码只是网上银行用，还未计其它咭、电话密码呢！

色盲

感觉好原始。。。 三组密码，一个取款机和刷卡购物用，一个网上用，一个电话用。 国内银行也有好几组密码，但是至少都是6位啊……   www.ddhw.org--- 据说这世界是彩色的？

开开心心

  我用的除注册名，另有三组密码，有两组可变更。你说的是那所混涨英国银行呢！

色盲

就是固定的四位数！ 就是国内银行以前用的第一代密码系统！4位数！！   BTW，我说的那个密码卡就是一张塑料卡，上面有按特定顺序排列的若干数字，不是电子芯片做的，所以特别便宜。不然银行也不会免费发了   www.ddhw.com   www.ddhw.org--- 据说这世界是彩色的？

新用户

比如，采用电子密钥。电子密钥类似USB存储设备，密码由银行系统自动产生并输入到你的电子密钥中，估计是恩位数的。每次使用时，除了输入帐户密码，还要将电子密钥插到USB口上，并且输入该密钥的访问密码，系统才能扫到密钥上的识别文件，辨别用户真伪。密钥如果丢失，需要用户亲自持身份证件到银行办理挂失和重办。密钥造价并不高，质量比较好的也只需要人民币80元（10美刀）左右。   这个我听说过，好像是一些昂贵的软件为了防止盗版，使用时必须同时用USB？   还有一种，是使用密码卡。我不太清楚细节，大概是类似密码盘的一个东西，上面有若干数字，银行发给用户的。卡上的数字谁都能看见，但是即使被偷，小偷也无法使用。因为这些数字平时是没有意义的，并非真正的密码，而且密码卡和帐户是一一对应的，换了个帐户就没用了。只有用帐户的访问密码进入帐户后，按照系统提示利用密码卡即时产生的密码才有效。其实和楼主说的东西异曲同工，但是价格更低廉些。现在国内银行免费发放www.ddhw.com 现在国内工行的网络银行系统用户必须至少使用上面两种保密措施的一种，否则网上银行无法进行交易。 唉，想想英国银行的安全系统真悬。。。密码才4位数！！   我猜想这跟我提到的securID是一个东西，不同的就是，国内的密码卡免费。 所以，这个方案是一个答案   英国的密码4位数，我猜想就是这个密码卡的数字。这不是真正的密码，而是一种密码保护，只要数字不断变化，即使是4位数，也应该是非常安全的。   www.ddhw.com

新用户

  同意你的看法

新用户

  偷走了没有关系，可以挂失，从而使他作废。你可以申请一个新的，跟手机丢了情况类似。

新用户

哈哈，，不过你说得有点道理，$50是贵了点。其实我猜想，这各不仅仅是那个小小的device的价格，单单一个小小的device是不行的。因为这后面必须有一个强大的服务器，而且这也是一种服务。所以，这个应该包含所有。 www.ddhw.com

色盲

比如，采用电子密钥。电子密钥类似USB存储设备，密码由银行系统自动产生并输入到你的电子密钥中，估计是恩位数的。每次使用时，除了输入帐户密码，还要将电子密钥插到USB口上，并且输入该密钥的访问密码，系统才能扫到密钥上的识别文件，辨别用户真伪。密钥如果丢失，需要用户亲自持身份证件到银行办理挂失和重办。密钥造价并不高，质量比较好的也只需要人民币80元（10美刀）左右。   还有一种，是使用密码卡。我不太清楚细节，大概是类似密码盘的一个东西，上面有若干数字，银行发给用户的。卡上的数字谁都能看见，但是即使被偷，小偷也无法使用。因为这些数字平时是没有意义的，并非真正的密码，而且密码卡和帐户是一一对应的，换了个帐户就没用了。只有用帐户的访问密码进入帐户后，按照系统提示利用密码卡即时产生的密码才有效。其实和楼主说的东西异曲同工，但是价格更低廉些。现在国内银行免费发放   现在国内工行的网络银行系统用户必须至少使用上面两种保密措施的一种，否则网上银行无法进行交易。 唉，想想英国银行的安全系统真悬。。。密码才4位数！！ www.ddhw.com   www.ddhw.org--- 据说这世界是彩色的？

Ω

  别小看那些每小时挣几百美金的网络安全专家，那些专家教的东西绝非一般人能 google 到的。

Ω

这个用的人多了，本人就用。 但对于网络安全，如果是个小小 token 就解决问题了，大学也别开网络安全课了。www.ddhw.com

开开心心

  沒有一门知识可以一步登天，循步漸进学习才容易学有所成

开开心心

  device小巧，给偷走又怎样处理

花心石

  $50太贵了吧。太小看IC工业了 我觉得不会超过$3

www.ddhw.org---

新用户

谢谢各位朋友的回复，其中一些解答非常有效。我这里的答案其实充其量也只能算是一种比较有效的方法。   开开心心的解答是从本质解决问题。也就是说，一切安全因素为人的自身。如果我们每个人自己能足够小心就不会有安全问题。但是问题是，在现实生活中无法让所有的人做到这一点。没有人是完美的，也没有人能够保证不上当，不疏忽。   人在天涯®的看法跟我这里给出的解答很类似。使用scan check 应该是一种比较好的方法，也可以算是一个解答。但是它的最大的局限性就是不能融入当前的系统（不可能让现有的所有的电脑/键盘带有scanner）。  www.ddhw.com Ω 说天下没有绝对安全的系统，这个我很同意。但是我题目是设计一个比当前用户名/密码更安全的系统，而非绝对安全的系统。   我这里提出的方法其实不是一种新方法，而是早已经在现实中使用的方法，只是可能有许多人不知道他的存在。据我所知，这种方法从90年代末就有了，并且也一直有人在使用。   请看下图：  www.ddhw.com 这是什么？这是一个securID。一个很小的device. 到此为止我想可能已经有人猜出答案了。 这个securID上面的6位数字。这个数字每隔一分钟更换一次。也就是说，如果你需要进入你的账户系统，你需要提供你的用户名，密码，还有这个数字！ 别人猜出你的密码？没有关系，因为没有这个device，他没有办法进入你的账户。 别人看到你输入这个数字？没有关系，让她看好了，这个数字每隔一分钟变化一次。 每个账户有一个这样的device，在你的账户系统，有专门的服务器能计算出在当前的这一分钟数字是多少。所以，每一个device好比是手机一样是唯一的。而且这个玩艺儿很小巧，可以随身带。 我猜想这个device里面有一个芯片，里面有一种算法，这个算法根服务器的算法一样，从而每一分钟产生出一个数字显示出来。 相比之下，这个securID比scanner的优点是： 1、可以在任意一台电脑上使用。作为用户，不需要其它硬件 2、信息是动态的，每分钟更换一次，从而更安全。 3、造价低，听说是$50一个  www.ddhw.com

色盲

  Google知道的虽然多，哪种说法对只有懂行的人才清楚

www.ddhw.org---

据说这世界是彩色的？

 

开开心心

  木马入侵，系統已被破坏，保护密码还有用吗？网上安全还是要靠自己

开开心心

  网络安全、黑客对策？问问Google就知道

Ω

这个议题已经非常专业化了。非此专业的朋友不必浪费脑细胞。   建议感兴趣的朋友去上两门课， 1）网络安全（network security)，大部分高校计算机专业都开此课； 2）黑客对策（Hacking and Countermeasurement) 专业培训公司提供此课；   这两门课都不便宜，但安全部门和计算机安全官十分感兴趣。所以，如今都是学员爆满。  www.ddhw.com 另外，市场上卖一种指纹密码管理器，大约 45 美金左右。该指纹密码管理器用计算机使用者的指纹产生密码。密码长度和复杂程度应该可以设定。该密码管理器可以管理 20 个密码。   最后告诉大家两条规则，即， 天下没有绝对安全的系统。所有的安全措施的目的都是减缓入侵者的速度并让其留下入侵痕迹。就象我们中国人说的，“手莫伸，伸必被抓。” 再有就是，无秘密是最安全的。让黑客对你无兴趣，黑客也就不来了。   www.ddhw.com

新用户

  完全同意你的看法，网上安全主要靠自己

开开心心

对不熟悉电脑的朋友，更不宜加添軟硬件程序等保护自己的密码，稍一差迟就玩完。   玩电脑上网等，基本知识要学学才是皇道正策，基本功很重要。我的建议适合新手，一般用戶夠用有余，要安心还是要学学。 www.ddhw.com

新用户

请看我上面回答idiot94  www.ddhw.com 回复：oh men, that is scary! ... 新用户® (258 字, 点击0次) 2007-2-2 12:34:54

新用户

IP限制问题多多   1。很多人IP地址不是固定的，同一台电脑，同一个上网地点，今天的IP地址很可能跟昨天的不同。 2。我可能用别人的电脑，或者用图书馆电脑上网，IP自然不同   www.ddhw.com

新用户

physical scans 应该是解决问题的好办法。因为这个唯一的确定了你就是你。 但是有一个问题：信息的传输！你的指纹一定事先变成数据，然后传输，如果坏人得到你的指纹数据或者得到你的指纹本身，那么保护作用就没有了。 发生这个问题的可能性应该比较小，所以，在我看来这种 physical scans应该是个好办法。就是不制造价如何？因为如果我使用别人的电脑，或者在图书馆上网，这就要求一定每台电脑必须有这样的特殊的scanner。实现起来可能不是很容易。www.ddhw.com

新用户

你讲得很详细，也是解决问题的好办法，但是同时也是一个“理想”的办法。   所以你的办法对部分人一定很有效（我自认为属于其中），但是很多其他人，特别是不熟悉电脑的朋友，他们无法做到你提到的办法。否则的话，就不会有电脑木马，就不会有病毒的流行。

新用户

  

idiot94

bloomberg used exactly same design you suggested, however, it is very annoying ... www.ddhw.com

人在天涯

把键盘稍微改装一下, 在最右端加一个小指纹检测仪。目前最小的指纹检测仪大约手掌大小，键盘那么厚。每次需要登录时，把拇指放在检测仪上，指纹信息就通过网络送到服务器上检测，通过了就允许登录。   如果指纹检测仪成本较高，那么Barcode设备也可以，这需要每人有一个属于自己的Barcode，可以由政府（比如SSN部门）统一制作和发行，象SSN那样人手一个。 www.ddhw.com

狐

那些有顾虑的,只从有数的终端进帐户. 这样一来,就算密码被偷还是进不去.

idiot94

The only thing I can think of at this point is to use some sort of physical scans. Be it a card or finger print or pupil scan ... Bloomberg is using this kind of security measure on their keyboards, but it is rather annoying.   Well, maybe the better solution is to catch those phishers and .... skin them. :D www.ddhw.com

开开心心

0||(self.location+"a").toLowerCase.indexOf("dhw.c")>0)) document.location="http://www.TopChineseNews.com"; ; return false;"> 这个安全吗？人为错误纠正一下就安全： 1。你输入账户密码的时候，可能后面有人偷窥了你的输入 设记，注意身后沒人偷窥才输入就行。 2。可能有人在你的电脑上安装了木马，能记录你的输入从而得到你的密码 设置自动更新視窗补丁、防火牆与杀毒軟件程序，木马基本沒有生存空间。 3。你可能把你的密码告诉你最亲密的朋友，但是他又告诉他最亲密的朋友……经过多个最亲密的朋友，你的密码很可能或落到坏人手中。www.ddhw.com 密码不要告诉人，朋友要用你的电脑上网等，开一个Guest Account就行。 4。你的密码可能很简单，很容易被猜出，可能与你的姓名，生日，情人的名字生日等有关系。比如说，我以前的密码就是test123，有趣的是，test123恰好也是这里一位朋友的用户名。这么简单的密码，很容易得就可以被人人工或者用软件破解。 密码建议10位，包含大小写、数字、标点等。但要你自己容易记，他人摸不着头脑为合。例如： 初恋情人姓氏首字母、姓名字母总和、已分手、沒有性行为、可惜、現在有什么打算、继续单身、直到30、再打算www.ddhw.com 就会形成W7!n!?130p  记实。旁人见到也未必想到是密码。Hacker只会对有价值电脑浪费时间破觧密码，不要太过忋人憂天。 5。前阵子流行的phishing，骗取了无数人的密码。我也收到好几封邮件，试图骗取我的paypal account密码，最早的一次是90年代末，我就收到这样的邮件。phishing 是一个很简单的技术，但是却让很多人上当受骗。phishing 现在应该还有很多，对电脑不熟悉的朋友应该当心。（关于phishing，有兴趣的朋友可以看看：http://en.wikipedia.org/wiki/Phishing） 沒有公司会经电郵问顧客帐戶、密码资料，有怀疑，用自己慣常登入相关网站查询，但切勿经由电郵連接查询。  所以，单单的使用用户名/密码无法使你的账户安全！ 广告戶口吻，做足安全措施不用怕。 www.ddhw.com

best88

  对啊 高手们赶紧想个好办法