提高用户账户访问安全性的系统和方法
【专利摘要】本申请涉及提高用户账户访问安全性的系统和方法。本发明的一种形式为用户提供了一种通过带有可视化显示屏的电子设备来访问账户的系统,包括向用户分配至少一个安全标识符的通信装置,该安全标识符包括从一个预设字符集中选取的一个或多个字符;一个用于存储上述至少一个安全标识符和上述预设字符集的数据库;一个处理器,用于在上述可视化显示屏上为上述用户提供一个访问界面,其中该访问界面包括一个图形显示字符集,其至少包括构成安全标识符的字符。
【专利说明】提高用户账户访问安全性的系统和方法
[0001 ] 本申请是分案申请,其母案申请的国际申请号是:PCT/AU2010/001360,国家申请号是:201080046835.0,国际申请日是:2010.10.14,发明名称是:“提高用户账户访问安全性的系统和方法”。
发明领域
[0002]本发明涉及一种用户访问账户的系统和方法,尤其是提高用户在输入具体登录信息时的安全性,如登录互联网网站、网络、软件和网络应用程序等。
[0003]发明背景
众所周知,用户通过在小型键盘或键盘上输入详细的身份识别信息来登录网络、互联网网站、软件和网络应用程序、手机等。例如,金融机构提供的网上银行服务需要用户在键盘上输入用户名和密码来访问其账户信息、转账、支付账单等。即使是自动取款机(简称ATM)也需要对用户身份和以个人识别号码(简称PIN)为形式的密码进行识别。
[0004]在通过网络,尤其是互联网等公共网络使用键盘输入用户名和密码时,用户会面临某些风险。第三方已发明出各种手段来盗取用户名和密码,比如通过键盘记录、信息划取设备、密码猜测和网络钓鱼。
[0005]键盘记录是一种记录键盘击键的行为,通常是以一种隐蔽的方式进行,因此使用键盘的人对自身行动正在受到监控一事浑然不觉。这一般是在用户毫不知情的情况下,通过在用户的计算机上安装软件程序来实现的。
[0006]信息划取设备会与自动取款机等计算机硬件相连,并在用户使用键盘时收集用户输入的信息。例如,仍然是在客户毫不知情的情况下,连接到一台自动取款机的信息划取设备可收集银行客户的账户信息、用户名、密码和PIN。
[0007]密码猜测程序能够通过飞快地浏览一部字典中所有词等方式实现自动猜测用户密码。
[0008]网络钓鱼是一种试图获取用户名、密码和信用卡信息等敏感信息的过程,比如通过伪装成一个受信任的电子通信实体的方式。通常情况下,用户会收到一封看起来似乎是来自于一家受信任机构的合法电子邮件,该邮件会要求用户点击一个链接并输入用户名和密码。然而,该链接会将用户带到一个由第三方操作的虚假网站而不是该机构的官方网站,从而导致用户的用户名和密码被第三方盗取。
[0009]由于存在固有的安全风险,许多客户拒绝进行网上银行或电话银行交易。这不仅给客户带来不便,而且也使金融机构在客户需要通过网上银行进行交易时无法独立执行其整个网上银行业务。
[0010]解决上述安全问题的现有尝试主要集中在防止此类设备和软件的安装上,但在此类设备和软件成功安装后,就无计可施了,而且也无法有效防范以上所有安全威胁。
[0011]可通过账户锁定机制来抵御密码猜测程序,但由于计算机能力和用户数据库管理限制,通常这些机制无法在网络上使用。当使用时,这些机制通常会把其安全性能设置成最低级别,以便不给用户带来不便。
[0012]数字证书被用于防止用户名和密码的盗用,但在高端应用中,如果设备安全被破坏或数字证书被盗,则这种方法无法制止对信息的访问。此外,数字证书还需要终端用户具有相当高水平的操作技巧,对大多数用户来说,通常达到这一程度都需要技术员的指导。由于这样的话机构需要有大量的服务台,这使得在互联网或广域网(简称WAN)应用程序中使用数字证书的成本过高,而且终端用户获得现场技术指导的费用也较高。由于操作系统必须与数字证书相兼容,而操作系统的不断演化和发展将数字证书的管理进一步复杂化。当能够使用移动通信网络来访问互联网且各自带有不同专有操作系统的设备得到大范围普及时,这个问题将更加突显。
[0013]“SiteKey”是一种专门用于防止网络钓鱼攻击的现有系统。它是一种基于网络的安全认证系统,通过提出一系列身份验证问题来增加安全性。用户在登录网站时通过输入其用户名(但无需输入密码)来验证身份。如果用户名有效,则系统会向用户一同显示出已预先设置的图像和提示语。如果经用户识别,该图像和提示语不是自身所设置,则用户即推断该网站是钓鱼网站并放弃登录。如果用户识别出该图像和提示语,则用户可将该网站视为正式网站并继续进行登录。
[0014]然而,SiteKey系统被发现存在漏洞。最重要的是,它无法抵御某些最常见的钓鱼场景,因为它会要求用户回答问题,但这样个人信息就会被透露,从而危及用户隐私,这就为中间人攻击提供了便利,并导致用户名被大量盗取。此外,人们也发现,即使在SiteKey图像和提示语没有出现的情况下,用户也很容易提供其登录信息。因此,它的设计并不是很成功,而且因为个人信息的泄露,在某些情况下增加了身份盗取事件的发生,网络钓鱼者仍然可以相对轻松地从攻击目标处非法窃取信息。
[0015]因此,有必要提高用户在输入登录信息以访问用户账户时的安全性,以至少使上文所述的某些安全威胁得到抑制。
发明概要
[0016]概括而言,本发明采用图形显示访问界面来显示一组预设的字符集,用户可从中选择至少构成一个唯一的安全标识符的一个或多个字符。
[0017]本发明的一个方面提供了一种通过带有可视化显示屏的电子设备来访问用户账户的方法,该方法包括以下步骤:向用户分配至少一个安全标识符、该安全标识符包括从一个预设字符集中选取的一个或多个字符,其中所述预设字符集中的至少一个字符是非字母数字字符;在上述可视化显示屏上向上述用户提供一个访问界面以输入上述安全标识符,其中该访问界面包括一个图形显示字符集,其至少包括组成上述安全标识符的字符的图形表示;允许上述用户通过选取图形显示字符集中的字符来输入上述安全标识符;并将上述输入的安全标志符与存储在数据库中的预设安全标识符进行比对,如果比对成功,则系统允许访问上述用户账户。
[0018]本发明的第二个方面提供了一种通过带有可视化显示屏的电子设备来访问用户账户的系统,其包括:用于向用户至少分配一个安全标识符的通信装置,该安全标识符包括从一个预设字符集中选取的一个或多个字符,其中所述预设字符集中的至少一个字符是非字母数字字符;一个用于存储上述至少一个安全标识符和上述预设字符集的数据库;一个在上述可视化显示屏上向上述用户显示一个访问界面的处理器,其中该访问界面包括一个图形显示字符集,其至少包括构成安全标识符的字符的图形表示;此外,该处理器也用于将上述用户输入的图形显示字符集上的上述安全标识符与存储在上述数据库中的安全标识符进行比对,并将所输入的上述安全标识符与存储在上述数据库中的预设安全标识符进行比对,如果比对成功,则系统允许访问上述用户账户。
[0019]本发明的第三个方面提供了一种通过带有可视化显示屏的电子设备来访问用户账户的系统,其包括:用于接收至少一个安全标识符的第一个通信装置,该安全标识符包括从一个预设字符集中选取的一个或多个字符,其中所述预设字符集中的至少一个字符是非字母数字字符;一个带有一个可视化显示屏的电子设备,用于请求访问用户账户并接收一个访问界面以输入上述安全标识符,其中该访问界面包括一个图形显示字符集,该字符集至少包括组成安全标识符的字符的图形表示,此外,如果所输入的安全标识符与存储在数据库中的预设安全标识符比对成功,则还可用于访问上述用户账户。
[0020]本发明的第四个方面提供了一种访问用户账户的系统,包括:通信装置,用于接收请求访问上述用户账户的请求并响应该请求发送一个访问界面,其中该访问界面包括一个图形显示字符集,该字符集至少包括构成一个安全标识符的字符的图形表示,该安全标识符含有从一个预设字符集中选取的一个或多个字符,其中所述预设字符集中的至少一个字符是非字母数字字符;以及一个处理器,用于接收并将上述安全标识符与存储在数据库中的预设安全标识符进行比对,如果比对成功,则允许访问上述用户账户。
[0021]此外,本发明还提供了一种软件产品,用于有效地实施第一个方面的方法。
[0022]在一种形式中,预设的字符集是用户子集所独有的。这提高了系统的安全性,因为对于不同用户或用户子集,字符集是不同的,这增加了密码猜测程序可能需要猜测的字符数量。
[0023]在另一种形式中,该预设字符集是用户账户管理员所专有的。密码猜测程序仍然难以确定提供给用户的字符集,因为每个管理员,比如每个机构,能够设计其自有的字符集。加上对不同用户子集应用不同的字符集,这进一步提高了安全性。
[0024]最好要求用户逐个输入一个以上的安全标识符,理想情况下是在独立的登录屏幕上使用独立的定制图形显示字符集来输入每个安全标识符,以此来提高安全性。例如,用户可能需要输入用户名,然后输入密码,然后输入PIN。在其他形式中,每个登录屏幕可使用相同的字符集,或者可能只使用一个登录屏幕。
[0025]每个分配的安全标识符的预设字符集可能是不同的,这也有助于增加访问系统的安全性。
[0026]用户最好通过在指点设备或触摸屏上选择图形显示字符集上的字符来输入安全标识符。这样,按键记录器就无法记录传统键盘上的击键,从而遏制其未经授权而访问用户的详细信息。但是,在另一种形式中,可使用一组键盘按键来选择所显示的字符,比如Tab键和箭头键。
[0027]或者,用户可通过至少选择图形显示字符集上的一个字符来输入一部分安全标识符,并通过选择传统键盘上的按键来输入另一部分安全标识符。
[0028]有利的是,针对每次尝试性访问行为,该图形显示字符集都可以不同的顺序或方向进行显示,以进一步抑制按键记录器获取用户的详细信息。
[0029]为了抑制密码猜测程序,在安全标识符被错误输入预定的次数后,最好拒绝用户账户访问。此外,如果选择了未包括在内的字符,即在容许的图形显示字符集以外的字符,那么最好也拒绝访问用户账户。
[0030]在另一种形式中,每个用户的预设字符集和安全标识符可以是不同的,以增加可能的选择数量并增加猜测用户标识符的难度。
[0031]对于某些管理员或机构而言,访问界面还可包含广告,使管理员从对其系统的使用中获取额外的财政收益。
[0032]本发明的各个形式通过抑制键盘记录、信息划取设备、密码猜测器和(或)网络钓鱼的威胁,提高了用户为访问用户账户而输入身份识别信息时的安全性。比如,通过使用针对每个用户而独特定制、与其固定账户名绑定、且只有在登录时才显示的图形键盘字符集,可防止网络钓鱼诈骗。通过利用这种方式,当客户被骗到一个非法网站时,就不会出现让用户输入其安全ID的必要自定义字符集。如果在多个登录屏幕应用了不同的字符集,那么就会产生复合效果。如果没有使用已知的键盘布局,尤其是标准键盘来输入安全ID,那么也能够防止键盘记录。此外,即使捕捉到击键,选定字符的安全值也是第三方所未知的,而且如果每次登录时的字符布局都不同,那么第三方也很难进行登录或猜测。如果安全ID中未包括标准的字母和数字字符,那么密码猜测器也将得到遏制。此外,通过使用管理员或机构专有的字符将使密码猜测器难以奏效。在登录时随机打乱字符的顺序和位置能够抑制信息划取设备的安全ID获取功能。
[0033]据设想,本发明还将有助于防止将合法互联网流量转移到虚假网站以间歇性获取用户登录信息的域名地址欺骗、盗取和重定向技术,因为当不存在所需的字符集时,用户将不可能输入其代码。
[0034]附图简要说明
现参考附图,对本发明的说明性实施例进行讲解。所附讲解也将进一步突显本发明的特点和优势。
[0035]图1是一个情境图,提供了本发明一个实施例中的系统概观;
图2a到2j(以下简称“图2”)显示了一种本发明示例实施方法的流程图;
图3是图2方法的实施设置过程的总结概述;
图4是使用“用户名”作为输入栏名称的示例一级输入访问界面和图形显示字符集;
图5是使用“密码”作为输入栏名称的示例二级输入访问界面和图形显示字符集;
图6是使用“PIN”作为输入栏名称的示例三级输入访问界面和图形显示字符集;
图7是示例安全ID创建访问界面和图形显示字符集;
图8是设置某个特定用户的安全ID的示例管理员数据库表格;
图9是设置某个特定用户登录的示例管理员数据库表格;
图10是示例主字符集表格;
图11是另一个示例主字符集表格;
图12是另一个实施例中的示例安全ID访问界面,其中使用的是传统键盘字符。
[0036]优选实施例说明
本发明不针对任何特定的硬件或软件实施,并且概念层次高于具体实施。应当理解的是,在不脱离本发明精神或范围的情况下,可存在本发明的其他各种实施例以及对本发明进行的更改。下文有助于理解本发明特殊实施例的实际实施。
[0037]如图1所示,用户10通过网络或应用程序12请求访问在机构11所创建的账户。该网络可以是一个全球计算机网络,如互联网。用户10可通过一种带有一个可视化显示屏的电子设备来请求访问,如手机、个人数码助理(简称roA)、黑莓手机、笔记本电脑或个人计算机14,或其他任何能够访问相关网络或应用程序12的设备,这可包括能够访问全球计算机网络互联网等网络的终端。该网络可以是独立的网络、局域网、广域网、互联网、手机网络、无线或有线网络。但是,本发明并不限于仅在网络上使用,还可用于登陆软件或网络应用程序等。“网络或应用程序”可被广义地解释为用户10希望使用一种带有可视化显示屏的电子设备来访问账户的任何手段。服务器或处理器16包括一个用于通信的输入/输出设备15,该服务器或处理器用于接收用户10发出的访问请求并为用户10启动登录进程,使其输入安全标识符,如用户名、密码、漫游代码、PIN等。服务器或处理器16连接或包含一个用于存储安全ID、字符集等的数据库17。服务器或处理器16可由机构11进行操作,或者由第三方进行操作,然后将结果传达给机构11。服务器或处理器16通过网络12发送一个登录界面20并显示在用户10的设备14上,提示用户10输入其安全标识符(简称“安全ID”)。然后,用户10输入其安全ID(下文将进一步说明)后,信息被传输回服务器或处理器16进行处理。
[0038]根据一个实施例,图2的流程图显示了一种被
【申请人】称为“可变专有字符集多级别登录”(简称VPCSML)的示例访问或登录进程实施方法。该方法可通过一个独立软件应用程序或集成现有的访问应用程序来实施。
[0039]用户10通过浏览器或其他界面来访问其想要访问的网站或应用程序,并出现一个输入屏幕,屏幕上有可进行选择的登录选项。一旦选定登录,就会向账户管理员的服务器或处理器16发送一个请求100。服务器或处理器16接收请求并发送一个登录访问界面20,显示在用户10设备14的可视化显示屏上。界面20显示出一个独一无二的图形显示字符集102,该字符集是由管理员所创立的自定义字符集,作为“键盘”供用户10输入其安全ID值,比如用户名、密码、PIN等。
[0040]用户所需的安全ID值的数量取决于机构、用户尝试访问的账户以及所需的安全级另IJ。比如,对于某些登录,可能仅需一个安全ID值(如用户名),虽然通常情况下至少使用两个安全ID值(如用户名或账号及密码),理想状态下是至少使用三个安全ID值(如用户名、密码和PIN)。在某些更高级别的安全情况中,会使用三个以上的安全ID值。在本实施例中,使用了三个安全ID值,分别表示为一级值(用户名)、二级值(密码)和三级值(PIN)。应当注意的是,用户名、密码和PIN是用于说明以帮助理解的。它们仅代表三个级别的安全ID代码,可根据系统实施需要,对代码输入栏进行任意命名。如果管理员使用独特的输入栏代码名称,则可能获得更高级别的保护,因为任何钓鱼者都不知道向用户索取哪种类型的代码。
[0041 ]图4、5和6显示了在用户10设备14的可视化显示屏上所显示的示例图形显示字符集(简称“GDCS”)300,但是根据所使用的技术平台的能力和复杂性,可使用任意组合和类型的字符。
[0042]GDCS 300使用户10能够在可视化显示屏上选择用图形表示的字符来构成用户的安全ID并输入所需值,从而对用户账户进行访问。构成GDCS 300的预设字符可包括任何形式的字符或符号,如字母302、数字304、大写306和小写308、标点符号310及图像或图片312或不同颜色(未显示)。在整篇说明书和权利要求中,所有这些形式的字符或符号统称为“字符”。每个安全ID最好至少包含一个每种形式的字符,用以提高安全性(如至少一个数字、图像、字母等),因此字符集和GDCS 300将包括一种以上的字符形式,但在其他实施例中,字符可能只有一种形式,如全部都是图像或全部都是字母数字字符。应当指出的是,GDCS 300并不会显示预设字符集中的所有字符,下文将对此作进一步说明。相反,每次登录时,只会显示机构所有预设的字符集的一个子集。
[0043]优选实施例可通过包含至少三级或难以描述的三级以上级别的字符集中的某些字符来额外提升安全级别,使用户很难受骗而口头泄露此类信息。在理想情况下,对于所有代码,系统应执行严格的保密政策,而且绝不应该要求用户在任何操作过程中透露代码。
[0044]对于专有系统或管理员,字符集最好是独一无二的,并独立于其他应用程序,通过仅限于编程人员知晓底层代码以及加密来防止代码在二进制级别遭到破解,从而进一步提高安全性。一个字符集可应用于整个机构、按照类型或组别分组的用户或网络子集,或者为主机界面所用,使黑客更难以利用现成代码,因为这些代码不会被编入自定义字符集。这有助于增强编程员和用户将每个字符进行数字组合,可进一步防御攻击,即使在机器代码级别。
[0045]每次登录时,或者甚至在需要更高安全级别的极显眼位置(如在ATM机进行操作时,为防止划取用户的PIN)登录时,GDCS 300上显示给用户的字符顺序和位置可能都是随机的。还可随机改变每个字符集级别值的顺序来进一步防止渐进式的钓鱼企图(如首先输入密码,然后是用户名,最后是PIN)。
[0046]一旦用户10的显示屏接收到GDCS 300,用户10就会被提示输入其一级值。该一级值最好由管理员事先设置好并且是用户已知的,并与一个只有管理员知晓的固定用户账户名绑定。或者,用户可点击登录屏幕上的链接或致电客户服务中心来获取系统的一级值。
[0047]理想情况是固定用户名从未透露给用户并仅用于安全跟踪。管理员可根据需要或定期随意更改所有用户代码输入栏,而无需开设新账户,同时仍然保持账户安全。如果账户被盗用,则管理员仅需分配新的凭据,而无需重新连接或传输数据库信息,或者创建一个新的用户访问权限集。
[0048]如上所述,对于一个字符集的一组用户,一级值的设置需包含预设字符集中的字符,例如图10或图11所示的字符集。这样,管理员就可以在不同的登录网站上设置不同组的用户,通过分散登录界面而限制拒绝服务攻击的影响。一级值可以是基本的,即可以只是一个名字“John Smith”或一个数字“1234”,不具有真正的安全性,可以完全由字母和数字字符组成。但为安全起见,用户名最好至少包括一些上文所述的特殊字符,如图像或标点符号。
[0049]应当指出的是,GDCS300不一定包括机构预设字符集中的所有字符。相反,只会显示给用户一个可用字符子集。在某些形式中,所显示的子集是随机的,并且在每次尝试登录时都可能发生变化。另外应当指出的是,每次尝试登录时,GDCS中字符的位置和顺序也可发生变化,并且在某些形式中,甚至在用户选定每个字符后就会改变。
[0050]图10和图11所示的主预设字符集是为便于理解而提供的,可使用任意数量的字符或图片及两者的组合,并可从带有相关子程序的各种不同类型的数据库中选择,以进一步控制为每个字符集所挑选的字符。举例来说,根据代码级别,子程序可能会将字符挑选限制为仅含有数字的网格。对于特定用户组配置文件,可包含其他选择标准和表格,这有助于提供与用户字符集更相关且更容易记忆的图形图像。在某些安全级别,如果定期重置密码或需要较长的密码长度,用户可基于较为简单的字符选项(如只是字母数字字符)来选择用户名或密码等。在某些情况下,如果经常重置密码,相对于只使用字母数字字符,使用图像字符可能不是最优方案,因为用户会发现很难记忆不断更改的图形字符。如果某个特定安全级别要求使用非字母数字字符,可在设置管理数据库中做适当标记,详见图9中“所需的字符数” 一栏。
[0051]用户10最好使用指点设备或触摸屏设备来输入安全ID值,而不是传统键盘,以防止键盘记录程序记录击键。但是,可将界面进行编程,使其使用键盘光标、Tab键及返回键来做简单的图形按键选择。这将有利于改造现有设备,同时,支持使用可提供图形标准的更基本的PDA设备。如果不使用指点设备而是使用键盘光标、Tab键及返回键或者是同时使用键盘按键和指点设备进行输入,则偷窥者更难以确定输入的确切内容。理想状况是两者相结合,但可能实施的具体程度取决于管理员和客户所能接受的复杂程度。
[0052]或者,也可利用现有设备上的输入键,例如可对ATM机上的数据输入按钮进行配置,使用户能够选择屏幕上所显示的图形字符。
[0053]另一种方法是通过选择传统键盘上的按键来输入一个安全ID值(如用户名),使用目前所介绍的图形系统来输入二级或三级安全ID值(如密码)。
[0054]图12显示了另一种替代方法,使用传统键盘上的按键来表示GOCS300所显示的字符顺序。例如,如果安全ID包括四个字符“0&H3”而且GOCS 300以9H3.&+@Kg*的顺序显示了10个字符(如702所示),则这些字符的顺序可由传统按键上的“ABCDEFGHIJ”键来表示(如704所示)。在输入安全ID值时,用户可通过选择与屏幕上所显示的所需字符顺序相对应的键盘按键来选择所需的字符,即在此例中为“GEBC”706。这样,实际按键所代表的并不是安全ID,而且为防范键盘记录器和划取器,每次尝试登录时的字符集顺序可有所不同。
[0055]在可能遭到偷窥的情况下,为加强安全性,可对安全ID值进行遮蔽106,以进一步降低肉眼观察或监视而窃取密码的可能性,并且(或者)如果系统资源允许,可进行选择性加密。
[0056]为进一步提高安全系数,可使用含有一个静态IP或FQON的用户MAC地址、IP或FQON将安全ID值绑定到登录服务器身份辨认设备上,将根据账户类型进行管理。对于家用,可以是MAC地址,而且用户可能需要向其使用的服务器重新提交访问详细信息的请求。对于企业用,可基于个人静态IP地址或整个子网等,或者FQON来进行控制。
[0057]一旦用户10已输入指定的一级值108,用户所输入的值将与存储在“用户固定账户名称记录”(简称UFANR)管理员数据库中的一级值进行比对110。图8显示了一个示例UFANR数据库表格。
[0058]UFANR数据库400包括用户的安全ID值402和每个安全ID值402的预设字符集404、如果适用,安全ID值402将被重置的日期406、固定用户名408和参考数410、账户登录地址412和一个表示该账户是否被锁定的字段414。
[0059]如果UFANR数据库中未找到用户输入的一级值112,则会检查用户是否输入了未包括在内的字符114。未包括在内的字符是指被允许的字符集以外的所有字符组合,可以是单个字符,也可以是多个字符。如果想要拥有更高安全级别的应用,可引入一组未包括在内的字符集,以确定潜在的黑客攻击而立即锁定,如图10和图11所示。未包括在内的字符集可包括同一预设字符集内的一个字符子集,用于特定用户(如图11所示)。或者,未包括在内的字符集可以是一个单独定义的字符集或表格(如图10所示)。但是所需字符和未包括在内的字符之间最好不要有重叠,以避免意外发生。如果在用户输入中发现未包括在内的字符116,则会生成一个记录项,以记录一次使用未包括在内的字符而尝试进行的无效账户访问118,并会向用户显示无效账户及未经授权的登录的警告通知120。然后,可能会用户要求重新输入一级值,或者联系管理员。同时,也会阻止用户用于访问登录网站的IP地址再次尝试登录。
[0060]未包括在内的字符一般不会被用于一级字符集,因为这可能导致恶意黑客随机猜测有效的一级值而造成对账户使用的蓄意破坏(但是如上文所述,在某些高端应用中,可能需要这样做)。但是,无效输入将会生成锁定通知,因为无效输入表明,正在使用的是密码猜测器而不是屏幕键盘。此外,系统可选择性允许在二级进行多次超时重置(次数由管理员确定),如果随机黑客攻击攻破了一级值,而后因尝试猜测下一级别的安全值而造成账户被锁定,则上述方法可降低给用户带来不便的可能性。系统允许将重置的最高次数设置在正常账户被锁定的次数以下,因为如果达到这个值,则表明账户正受到攻击。此外,较低的级别也当然可采用该策略,但这会显著降低系统的安全级别,不推荐这种做法。
[0061]如果在用户输入中未发现未包括在内的字符122,则会在“用户登录错误容许度”(简称ULETL)计数数据库中检查重试次数124。图9显示了一个示例ULETL数据库表格。
[0062]对于每个安全ID级别,ULETL数据库500可选择性包括一个最大502和最小504字符长度、在账户被锁定之前每个安全ID级别所允许的重试次数506、是否可在安全ID值中复制两次和(或)三次字符508、安全ID值必须被重置的周期510、是否有必要重新排序GDCS以随机打乱其显示位置和顺序512、账户锁定重置514、以及代码重置时的字符重置516。
[0063]账户锁定重置514可用于避免未经授权的一方尝试访问网站而给用户带来的不便,如黑客定位到网站并尝试猜测有效的用户密码。设置重置的目的在于使管理员在过了预定时间后能够进行再次或多次尝试。
[0064]在重置密码时,可选择性强迫重置字符516,使钓鱼者更难以积累必要的信息组合来骗取用户凭据而最终访问账户。
[0065]如果用户输入的次数超过了ULETL中所列的重试次数126,则会生成一个日志项,以记录一次使用不正确的有效字符而尝试进行的无效账户访问118,并会向用户显示无效一级值及未经授权的登录的警告通知120。账户锁定策略的设置取决于用户登录错误容许度策略。因为对于用户10而言,字符集是独一无二的而且只为用户和机构所知,所以可根据需要适当宽限容许度。例如,如果85%的安全ID正确,则容许的重试次数可设置为10次;如果正确的比例不到85%,则在账户被锁定前可进行三次重试;如果使用了未包括在内的字符,则立即锁定账户。
[0066]应当指出的是,在一级,黑客行为并不会导致账户锁定,除非存在字段匹配,即黑客猜对一级的有效值后在下一级输入了无效条目。因此,举例来说,如果界面可被公共访问(如互联网),则可选择性允许进行一次基于额外一段时间的锁定重置。这是为了避免随机的黑客行为给用户带来的不便。该系统优于现有系统的优势之一是允许账户锁定,同时将与此类锁定相关的管理工作降到最低。
[0067]如果在UFANR中未发现用户输入的一级值112并且用户未输入未包括在内的字符122,而且输入次数并未超过ULETL计数126,那么会显示给用户一个重试通知128且ULETL用户输入次数加一 130。然后,用户可重新输入一级值,并重复上述验证过程。
[0068]如果在UFANR中发现用户输入的一级值132,则会在UFANR中检查账户锁定标记134。如果管理员对登录安全有所顾虑、或客户请求账户被禁用、或出于其他任何原因,那么可设置账户锁定标记。如果账户锁定标记被设置为锁定账户,则会向用户显示一个锁定通知 138。
[0069]如果在UFANR中发现用户输入的一级值132并且并未设置账户锁定标记138,则系统会确定在管理设置UFANR数据库中是否存在二级安全ID值140。二级值是更高一层的安全级别,并且可被命名为密码。如果不存在二级值142,则在检查过重置标记144(将在下文做进一步说明)后,用户被授权访问系统146,此时登录进程终止。
[0070]如果在数据库中设置了二级值144,则会在用户设备14的可视化显示屏上向用户显示一个自定义的二级界面。二级界面显示了一个专为用户创建的二级图形显示字符集148。图5显示了一个示例界面和GDCS,根据所使用的技术平台的能力和复杂性,可使用任何类型的字符或图标及其组合。虽然为安全起见,最好使用不同的字符集,但二级GDCS可与一级⑶CS相同。
[0071]如图9所示,如果管理设置数据库中已设置了“重新排序”标记,则可以不同顺序来显示二级GDCS。可在每次登录尝试后改变顺序,为增强安全性,也可在用户每输入一个字符后改变顺序。
[0072]一旦向用户显示二级GDCS,用户就会以上文所述与输入一级值相同的方式选择所需的字符输入用户指定的二级值158。二级值可事先由管理员设置或由用户在创建账户时设置,或者定期或随时重置。最好能够遮蔽输入区域160,以免用户输入被窥见。
[0073]然后,用户输入的二级值会与存储在UFANR中的二级值进行比对162。然后,会对未包括在内的字符、重试次数和账户锁定进行与一级值相同的检查过程。如果满足条件但二级值不正确,则用户可能会被提示重新输入二级值。或者,为提高安全性,用户可能会重新回到一级值界面,重新输入一级值。
[0074]如果满足上述与二级值相关的条件,则会检查UFANR数据库中是否存在三级安全ID值188ο在本实施例中,三级值为PIN,但也可使用其他类型的安全ID来替代。如果不存在三级值190,则在检查安全ID重置标记(下文会做进一步说明)后,用户被授权访问系统146,登录进程结束。
[0075]如果在数据库中设置了三级值192,则会显示给用户一个带有三级值⑶CS的自定义三级值界面194,图6显示了一个示例界面和GDCS。但根据所使用的技术平台的能力和复杂性,可使用任何类型的字符或图标及其组合。
[0076]如果管理设置数据库中已设置了重新排序标记200,则三级⑶CS可重新排序显示。用户通过选择上述显示的字符来输入指定的三级值。三级值可在创建账户时事先设置,或者定期或随时重置。可对用户输入区域进行遮蔽204,以免用户输入被窥见。
[0077]然后,用户输入的三级值会以与上述一级值和二级值所应用的相同方式与存储在UFANR中的三级值进行比对206。
[0078]经必要检查后,如果在UFANR中发现三级值206,则检查UFANR中是否存在一级重置标记144。
[0079]可选择性将安全ID值设置为变量(即检查重置标记),并将其与只有网站管理员已知而用户未知的安全的用户固定账户名数据库相连。这使用户可根据安全策略随时修改安全ID,因为安全策略可能会允许或强制用户定期修改安全ID值。这降低了用户数据库管理成本,同时也将保留问题用户的完整日志,可根据网络策略进行设置,为这些用户保持更高级别的限制或锁定。
[0080]因此,如果设置了一级重置标记208,则会向用户显示由管理员为用户的一级值设置好的自定义图形字符集,图7显示了一个示例界面。用户输入一个新的一级值210并在第二栏再次确认该值。这两栏都是被遮蔽的,以防用户输入被偷窥212。如果第一栏和第二栏不匹配214,则用户会被提示重新输入216。如果两栏匹配218,确认想要修改的新一级值,则会更新UFANR中的一级值220,并且UFANR中的一级重置周期被重置222。
[0081]然后,会检查UFANR中是否存在二级重置标记224。如果未检查到二级重置标记,则会以相同的过程检查三级重置标记。一旦完成重置过程,或者未设置标记,则用户被授权访问账户。
[0082]新的安全ID最好与任何以前使用过的安全ID不同。新安全ID可由管理员或用户设置,或者在某些情况下随机生成。
[0083]在某些形式中,在现有登录屏幕中可能包含多个屏幕。这可实现在同一屏幕上同时显示所有级别的输入栏。在这种情况下,系统可能需要将所有输入栏全部输入后再进行提交和系统比对。
[0084]图3总结概述了上述方法的实施设置过程。用户使用的字符集由管理员确定600。一级值(用户名)由管理员从预设的字符集600中选取并设置602。二级值(密码)由用户从预设的字符集600中选取并设置,并由管理员设置定期重置时间表604。三级值(PIN)也由用户从预设字符集600中选取并设置606。
[0085]管理员可通过在UFANR中添加额外的安全ID级别来添加额外的安全级别。在此例中,本文描述的系统被设置为三个级别一一一个用户名、一个密码和一个PIN,但在其他实施例中可使用三个以上级别。在本实施例中,密码和PIN都由用户设置和更改,但是如果用户被允许更改PIN,则建议再添加一个级别的PIN或密码,该PIN或密码只能由管理员级别的人进行更改,以防身份被盗用。
[0086]登录错误或重试级别由管理员根据安全限制和策略进行设置608。管理员将安全ID与对管理员保密的用户固定账户名记录绑定610。值和重新排列的时间安排612及安全ID重置614选项由管理员确定。所有值都存储在管理员设置数据库中。
[0087]当账户被锁定且确定用户为账户的合法用户时,管理员会向用户分配新的安全ID值。除最低级别的代码外,所有额外添加的级别的新安全ID值最好由新字符集组成。此例中的用户PIN或者至少使用最低级别的输入安全ID不应由用户自己来重置,以防身份被盗用。理想情况是,最低级别的安全值一旦分配,就不得更改。如果需要更改该安全ID,则此时需要创建新的用户账户并通过已建立的账户来检查这个正尝试操作该账户的人的真实身份。如果一定要允许更改某个级别的安全ID,则应该再激活一个安全ID级别,以防身份被盗用。“变量”一词用于表示可以更改的栏,但不是应被允许更改的栏;这是由管理员级别的人来确定的。
[0088]如果将在现有安全数据库中进行添加而不是作为一种改进的安全结构的一部分来实施,那么可在现有系统的安全用户数据库中使用一种可选的密码填充位脚本来验证用户。所需的系统密码和用户名将被存储在固定的用户数据库中,然后经过检索并提供给大多数路由器、网络系统和计算机操作系统所需的传统用户名和密码界面。这将使该系统改造现有的遗留系统。
[0089]此外,访问界面还可接收广告,开发商可以此作为一种可选收入来源来为系统建设和维护提供资金。该系统还可用于额外提供一个或两个图形字符添加到传统键盘输入验证模式中,以增加一个密码或用户名安全级别,而如果没有自定义的界面软件,则无法生成密码或用户名。它还可以作为数字证书界面的又一个安全级别并由用户设备上的带有数字证书的自定义界面进行控制和更新,或者当定期重新分配证书时进行更改或更新来更改密码。可将登录设置为允许使用共用或独立界面进行本地和远程访问。
[0090]通过使用与客户的固定账户名绑定并且只有在登录时才显示的、每个客户所独有的自定义图形键盘字符集可防范网络钓鱼诈骗对银行业务等高端应用的攻击。这样,如果客户被骗而访问一个无效网站时,将不会出现让客户输入密码的必要的自定义字符集。在钓鱼者想获取更低级别的键盘的情况下,键盘将是定制的,而且如果进行钓鱼尝试就必须复制这个为每个用户定制的键盘,这会导致钓鱼者要费很大气力来仅仅攻取一个安全级另O。然后,在随后的每一个级别,他们将不得不再次欺骗用户并将其诱骗回至另一个网站来获取下一个级别的安全值,使钓鱼者很难从客户那里骗取信息。如果需要非常高的安全级另Ij,而且可选择性地使用周期性代码重置,并在重置一个或更多级别的代码时更改键盘,同时代码重置的时间间隔较短,那么钓鱼者就很难实施该方法了,因为如果要成功获取信息,他们将需要在键盘代码更改之前让用户在多次网上攻击中透露所有级别的所有代码。
[0091]键盘记录行为也将由于未能使用已知键盘布局尤其是标准键盘来输入安全ID而被抑制。此外,即使捕捉到了击键,第三方也无法得知选定的字符值,而且如果每次登录时的字符布局都不同,则第三方也很难进行登录或猜测。
[0092]此外,密码猜测器也将由于未在安全ID中包括标准的字母和数字字符而受到限制,另外,使用管理员或机构所专有的字符将使密码猜测变得异常困难。
[0093]本发明可结合SiteKey网站安全认证系统等现有安全系统来加强用户的使用安全。同样,本发明可与其他安全措施结合使用,如向用户手机发送消息或验证码来验证用户身份的系统。
[0094]在本说明书和权利要求中,“包含”一词及其衍生词包括所有所述整数,但不排除包括一个或更多其他整数。
[0095]在整篇说明书中,参考“一个实施例”意为说明书所述的与本实施例有关的特定功能、结构或特征被包含在本发明的至少一个实施例中。因此,整篇说明书中不同位置出现的“在一个实施例中”这一词组不一定指的是同一个实施例。此外,此类特定功能、结构或特征可以任何适当的方式进行一种或多种组合。
[0096]上述讨论仅作为对本发明原则所作的说明。此外,由于熟习该领域的人可随时进行各种修改和更改,所以不要求将本发明限制为所示和所述的确切构造和操作方法,因此,在本发明范围内,可对本发明进行一切适当的修改和替换。
【主权项】
1.一种通过带有可视化显示屏的电子设备来访问用户账户的方法,该方法包括以下步骤: 向用户发出至少一个安全标识符,该安全标识符包括从一个预设字符集中选取的一个或多个字符,其中所述预设字符集中的至少一个字符是非字母数字字符; 在上述可视化显示屏上提供一个访问界面以供上述用户输入上述安全标识符,其中该访问界面包括一个图形显示字符集,其至少包括组成上述安全标识符的字符的图形表示;允许上述用户通过选取图形显示字符集上的字符来输入上述安全标识符; 并将上述输入的安全标识符与存储在数据库中的预设安全标识符进行比对,如果比对成功,则允许访问上述用户账户; 其中,所述预设字符集独立于所述电子设备并且是用户子集所独有的; 其中预设字符集是用户的账户管理员所专有的。2.根据权利要求1的方法,其中预设字符集是用户子集所独有的。3.根据权利要求1的方法,其中用户需要逐个输入一个以上的安全标识符以提升安全性。4.根据权利要求3的方法,其中每个安全标识符的预设字符集都是不同的。5.根据权利要求3或4任意一项的方法,其中每个安全标识符是在独立界面输入的。6.根据权利要求1的方法,其中用户通过指针驱动设备或触摸屏选择图形显示字符集上的字符来输入安全标识符。7.根据权利要求1的方法,其中针对每次尝试性访问,图形显示字符集都以不同的次序或方向进行显示。8.根据权利要求1的方法,如果从图形显示字符集中选择了未包括在内的字符,则该方法还进一步包括拒绝访问用户账户的步骤。9.根据权利要求1的方法,如果输入不正确安全标识符的次数达到了预设次数,则该方法还进一步包括拒绝访问用户账户的步骤。10.根据权利要求1的方法,其中用户通过至少选择图形显示字符集上的一个字符来输入一部分安全标识符并选择传统键盘上的按键来输入剩余部分的安全标识符。11.根据权利要求1的方法,其中对于每个用户,预设字符集和安全标识符都可更改。12.根据权利要求1的方法,其中访问界面还进一步包括广告显示。13.根据权利要求1的方法,其中预设字符集中的字符包括从以下组别中选择的一个或多个字符类型:字母数字、标点符号、图像或图片、以及颜色。14.一种通过带有可视化显示屏的电子设备来访问用户账户的系统,其包括: 用于向用户至少发出一个安全标识符的通信装置,该安全标识符包括从一个预设字符集中选取的一个或多个字符,其中所述预设字符集中的至少一个字符是非字母数字字符;一个用于存储上述至少一个安全标识符和上述预设字符集的数据库; 一个在上述可视化显示屏上提供一个访问界面以供用户输入上述安全标识符的处理器,其中该访问界面包括一个图形显示字符集,其至少包括构成安全标识符的字符的图形表示;此外,该处理器也用于将上述用户输入的图形显示字符集上的上述安全标识符与存储在上述数据库中的安全标识符进行比对,并将所输入的上述安全标识符与存储在上述数据库中的预设安全标识符进行比对,如果比对成功,则允许访问上述用户账户; 其中,所述预设字符集独立于所述电子设备并且是用户子集所独有的; 其中预设字符集是用户的账户管理员所专有的。15.—种通过带有可视化显示屏的电子设备来访问用户账户的系统,其包括: 用于接收至少一个安全标识符的通信装置,该安全标识符包括从一个预设字符集中选取的一个或多个字符,其中所述预设字符集中的至少一个字符是非字母数字字符; 一个带有一个可视化显示屏的电子设备,用于请求访问用户账户并接收一个访问界面以输入上述安全标识符,其中该访问界面包括一个图形显示字符集,该字符集至少包括组成安全标识符的字符的图形表示,此外,如果所输入的安全标识符与存储在数据库中的预设安全标识符比对成功,则还可用于访问上述用户账户; 其中,所述预设字符集独立于所述电子设备并且是用户子集所独有的; 其中预设字符集是用户的账户管理员所专有的。16.一种访问用户账户的系统,包括: 通信装置,用于接收请求访问上述用户账户的请求并响应该请求发送一个访问界面,其中该访问界面包括一个图形显示字符集,该字符集至少包括构成一个安全标识符的字符的图形表示,该安全标识符含有从一个预设字符集中选取的一个或多个字符,其中所述预设字符集中的至少一个字符是非字母数字字符;以及 一个处理器,用于接收并将上述安全标识符与存储在数据库中的预设安全标识符进行比对,如果比对成功,则允许访问上述用户账户; 其中,所述预设字符集独立于所述电子设备并且是用户子集所独有的; 其中预设字符集是用户的账户管理员所专有的。17.根据权利要求14至16任意一项的系统,其中预设字符集是用户子集所独有的。18.根据权利要求14至16任意一项的系统,其中安全标识符通过经由指针驱动设备或触摸屏选择图形显示字符集上的字符来输入。19.根据权利要求14至16任意一项的系统,其中针对每次尝试性访问,图形显示字符集都以不同的次序或方向进行显示。20.根据权利要求14至16任意一项的系统,如果在图形显示字符集中选择了未包括在内的字符,则经过设置,处理器还可拒绝访问用户账户。21.根据权利要求14至16任意一项的系统,如果输入不正确安全标识符的次数达到了预设次数,则经过设置,处理器还可拒绝访问用户账户。22.根据权利要求14至16任意一项的系统,其中一部分安全标识符通过至少选择图形显示字符集上的一个字符来输入,而剩余部分的安全标识符通过选择传统键盘上的按键来输入。23.据权利要求14至16任意一项的系统,其中对于每个用户,预设字符集和安全标识符都可更改。24.据权利要求14至16任意一项的系统,其中访问界面还进一步包括广告显示。25.据权利要求14至16任意一项的系统,其中预设字符集中的字符包括从以下组别中选择的一个或多个字符类型:字母数字、标点符号、图像或图片、以及颜色。26.—种用于通过带有可视化显示屏的电子设备来访问用户账户的设备,该设备包括: 用于向用户发出至少一个安全标识符的装置,该安全标识符包括从一个预设字符集中选取的一个或多个字符,其中所述预设字符集中的至少一个字符是非字母数字字符; 用于在上述可视化显示屏上提供一个访问界面以供上述用户输入上述安全标识符的装置,其中该访问界面包括一个图形显示字符集,其至少包括组成上述安全标识符的字符的图形表示; 用于允许上述用户通过选取图形显示字符集中的字符来输入上述安全标识符的装置;以及 用于将上述输入的安全标识符与存储在数据库中的预设安全标识符进行比对的装置,并且如果比对成功,则允许访问上述用户账户; 其中,所述预设字符集独立于所述电子设备并且是用户子集所独有的; 其中预设字符集是用户的账户管理员所专有的。
【文档编号】G06F21/36GK105844139SQ201610088415
【公开日】2016年8月10日
【申请日】2010年10月14日
【发明人】L.莱希
【申请人】阿莫洛格有限公司