本申请大体上涉及用于认证用户的设备、方法及计算机可读存储介质,更具体地涉及允许使用一种或更多种认证形式的认证尝试的设备、方法及计算机可读存储介质。
背景技术:
随着技术进步,寻求利用保护给定系统的技术漏洞的恶意黑客也在进步。如本文中所认识到的,目前的保障措施不足以解决上述计算机相关的问题。
技术实现要素:
因此,一方面,提供了一种用于认证用户的设备,其包括处理器和处理器能够访问的存储装置。存储装置承载指令,该指令能够由处理器执行以识别各自与相应的预定权重相关联的一种或更多种认证形式,其中对一种或更多种认证形式的识别至少部分地基于相应的预定权重之和至少满足预定权重和。指令还可执行以基于识别来允许使用一种或更多种认证形式的认证尝试。
另一方面,提供了一种用于认证用户的方法,其包括:识别至少第一认证模式,该第一认证模式与第一预定权重相关联;识别至少第二认证模式,该第二认证模式与第二预定权重相关联;识别阈值;以及至少部分地基于权重满足阈值来允许访问。
又一方面,提供了一种计算机可读存储介质,其不是暂态信号并且包括指令,该指令能够由处理器执行以:识别至少第一认证模式,该第一认证模式与第一强度水平相关联;识别至少第二认证模式,该第二认证模式与第二强度水平相关联;识别强度条(strengthbar);以及至少部分地基于第一强度水平和第二强度水平合起来满足强度条来允许认证尝试。
附图说明
本原理的关于其结构和操作的细节可以参考附图得到更好的理解,在附图中相同的附图标记指代相同部分,并且在附图中:
图1是根据本原理的示例性系统的框图;
图2是根据本原理的设备网络的示例框图;
图3和图4是根据本原理的示例算法的流程图;以及
图5至图9是根据本原理的示例用户界面(ui)。
具体实施方式
无限制地,下面的描述描述了具有关于各种认证强度水平的一组准则的认证系统。更具体地,每个要使用的认证模式可以与强度水平相关联,强度水平可以由系统管理员例如基于对于黑客而言猜出或算出给定认证模式的困难程度来设立。用户可以使用分别与各种强度水平相关联使得强度水平共同满足总强度条/阈值的一种或多种认证模式来尝试认证,并且直到针对用于满足强度条/阈值的每种模式均接收到有效数据,才可以对用户进行认证。
可以允许用户选择要使用的认证模式。另外地或替选地,可以将可使用的可用认证模式视为候选池,并且每当用户提供输入进行认证时,可以选择对认证模式的随机选择,使得满足最小强度条/阈值。
此外,如果用户的初始认证尝试失败,例如如果在最终使密码正确之前用户错误键入他的或她的密码三次,则强度条/阈值可以升高,这转而会导致用户必须使用不同的认证模式来提供认证信息,例如提供数字证书。用于每次尝试的认证模式可以与先前尝试时使用的认证模式相同,或者可以与先前尝试时使用的认证模式不同。
另外地,如果用户的认证尝试继续失败,则强度条可以继续升高。一旦强度条太高使得用于剩余认证模式的强度水平将不足以满足允许用户进行认证的强度条,则可以发起密码重置过程以及/或者用户可能会被锁定在他们正尝试获得访问的系统之外。
关于本文讨论的任何计算机系统,系统可以包括服务器组件和客户端组件,该服务器组件和客户端组件通过网络连接使得可以在客户端组件与服务器组件之间交换数据。客户端组件可以包括一个或更多个计算设备,其包括:电视机(例如,智能tv、支持因特网应用的tv);计算机,例如台式计算机、膝上型计算机和平板计算机;所谓的可转换设备(例如,具有平板配置和膝上型配置);以及其他移动设备,包括智能电话。作为非限制性示例,这些客户端设备可以采用来自apple、google或microsoft的操作系统。可以使用unix或类似操作系统,例如linux操作系统。这些操作系统可以执行一个或更多个浏览器,例如由microsoft或google或mozilla制作的浏览器或者可以通过网络例如因特网、本地局域网或虚拟专用网络访问由因特网服务器托管的网页和应用的另外的浏览器程序。
如本文所使用的,指令指的是用于在系统中处理信息的计算机实现的步骤。指令可以以软件、固件、硬件或者它们的组合来实现,并且指令包括由系统的组件执行的任何类型的程序化步骤;因此,有时根据其功能来阐述说明性的组件、块、模块、电路和步骤。
处理器可以是可以借助于各种线例如地址线、数据线和控制线以及寄存器和移位寄存器来执行逻辑的任何常规通用单芯片或多芯片处理器。此外,本文所述的任何逻辑块、模块和电路可以用通用处理器、数字信号处理器(dsp)、现场可编程门阵列(fpga)或被设计成执行本文所述的功能的其他可编程逻辑设备来实现或执行,其中,所述其他可编程逻辑设备例如是专用集成电路(asic)、分立门或晶体管逻辑、分立硬件组件或者它们的任何组合。处理器可以通过控制器、状态机或者计算设备的组合来实现。
本文中通过流程图和/或用户界面描述的软件模块和/或应用可以包括各种子例程、程序等。不限制于本公开内容,规定要由特定模块执行的逻辑可以被重新分配给其他软件模块和/或在单个模块中组合在一起以及/或者在可共享库中可获得。
当以软件实现时,逻辑可以以合适的语言例如但不限于c#或c++进行编写,并且可以存储在计算机可读存储介质(例如,不是暂态信号)上或者通过计算机可读存储介质传输,所述计算机可读存储介质例如是随机存取存储器(ram)、只读存储器(rom)、电可擦可编程只读存储器(eeprom)、光盘只读存储器(cd-rom)或者其他光盘存储装置例如数字碟(dvd)、磁盘存储装置或其他磁存储设备(包括可移除指状驱动器等)。
在示例中,处理器可以通过其输入线从数据存储装置例如计算机可读存储介质访问信息,以及/或者处理器可以通过激活无线收发器发送和接收数据来无线地从因特网服务器访问信息。通常,数据在被接收时由在天线与处理器的寄存器之间的电路系统从模拟信号转换成数字信号,而在被发送时由所述电路系统从数字信号转换成模拟信号。然后,处理器通过其移位寄存器来处理数据以在输出线上输出计算的数据,用于在设备上呈现计算的数据。
包括在一个实施方式中的组件可以以任意合适组合的方式用于其他实施方式中。例如,可以将在文中描述的和/或在图中描绘的各个组件中的任何组件进行组合、互换或者从其他实施方式中排除。
“具有a、b和c中至少一个的系统”(类似地,“具有a、b或c中至少一个的系统”和“具有a、b、c中至少一个的系统”)包括:仅具有a的系统;仅具有b的系统;仅具有c的系统;同时具有a和b的系统;同时具有a和c的系统;同时具有b和c的系统;以及/或同时具有a、b和c的系统等。
在发明内容、说明书和/或权利要求中可能使用了术语“电路”或“电路系统”。如本领域周知的,术语“电路系统”包括所有可用集成水平,例如从分立逻辑电路到最高电路集成水平例如vlsi,并且术语“电路系统”包括被编程为执行实施方式的功能的可编程逻辑组件以及被编程有用于执行这些功能的指令的通用或专用处理器。
现在具体参照图1,示出了信息处理系统和/或计算机系统100的示例框图,该信息处理系统和/或计算机系统100被理解为具有用于下文所述的组件的壳体。注意,在一些实施方式中,系统100可以是台式计算机系统,例如由北卡罗来纳州莫里斯维尔的联想(美国)公司销售的
如图1所示,系统100可以包括所谓的芯片集110。芯片集指的是被设计成一起工作的一组集成电路或芯片。通常,芯片集被作为单个产品销售(例如,考虑以品牌
在图1的示例中,芯片集110具有特定架构,该特定架构可以取决于品牌或制造商而在一定程度上变化。芯片集110的架构包括经由例如直接管理接口或直接媒体接口(dmi)142或链路控制器144来交换信息(例如,数据、信号、命令等)的核与存储器控制组120以及i/o控制器集线器150。在图1的示例中,dmi142为芯片到芯片的接口(有时被称为“北桥”与“南桥”之间的链路)。
核与存储器控制组120包括经由前端总线(fsb)124交换信息的一个或更多个处理器122(例如,单核或多核等)和存储器控制器集线器126。如本文所述,可以将核与存储器控制组120的各个组件集成到单个处理器裸片上,例如以制造取代常规“北桥”式架构的芯片。
存储器控制器集线器126与存储器140对接。例如,存储器控制器集线器126可以为ddrsdram存储器(例如,ddr、ddr2、ddr3等)提供支持。通常,存储器140为一种随机存取存储器(ram)。它常常被称为“系统存储器”。
存储器控制器集线器126还可以包括低压差分信号接口(lvds)132。lvds132可以是用于支持显示设备192(例如,crt、平板、投影仪、支持触摸功能的显示器等)的所谓lvds显示器接口(ldi)。块138包括可以经由lvds接口132支持的技术的一些示例(例如,串行数字视频、hdmi/dvi、显示端口)。存储器控制器集线器126还包括例如用于支持独立显卡136的一个或更多个pci-快速接口(pci-e)134。使用pci-e接口的独立显卡已经变成加速图形端口(agp)的替选方法。例如,存储器控制器集线器126可以包括用于外部的基于pci-e的图形卡(包括例如一个或更多个gpu)的16-通道(x16)pci-e端口。示例系统可以包括用于支持图形的agp或pci-e。
在使用i/o控制器集线器150的示例中,i/o控制器集线器150可以包括各种接口。图1的示例包括sata接口151、一个或更多个pci-e接口152(可选地,一个或更多个遗留pci接口)、一个或更多个usb接口153、lan接口154(更一般地,用于在处理器122的引导下通过至少一个网络例如因特网、wan、lan等通信的网络接口)、通用i/o接口(gpio)155、低引脚数(lpc)接口170、电源管理接口161、时钟发生器接口162、音频接口163(例如,用于扬声器194输出音频)、总操作成本(tco)接口164、系统管理总线接口(例如,多主机串行计算机总线接口)165和串行外设闪速存储器/控制器接口(spi闪存)166,其中,在图1的示例中,串行外设闪速存储器/控制器接口166包括bios168和启动代码190。关于网络连接,i/o控制器集线器150可以包括与pci-e接口端口复用的集成千兆位以太网控制器线。其他网络特征可以独立于pci-e接口进行操作。
i/o控制器集线器150的接口可以提供与各种设备、网络等的通信。例如,在使用时,sata接口151提供在一个或更多个驱动器180例如hdd、sdd或其组合上读取信息、写入信息或者读写信息,但是在任何情况下,驱动器180都要被理解为例如不是暂态信号的有形计算机可读存储介质。i/o控制器集线器150还可以包括支持一个或更多个驱动器180的高级主机控制器接口(ahci)。pci-e接口152允许与设备、网络等的无线连接182。usb接口153提供给输入设备184例如键盘(kb)、鼠标和各种其他设备(例如,相机、电话、存储装置、媒体播放器等),以及/或者执行本文所阐述的各种类型的认证的输入设备184(例如,指纹阅读机、键盘、钥匙卡传感器、眼睛传感器、音频传感器、其他生物传感器等)。
在图1的示例中,lpc接口170提供对一个或更多个asic171、可信平台模块(tpm)172、超级i/o173、固件集线器174、bios支持175以及各种类型的存储器176例如rom177、闪存178和非易失性ram(nvram)179的使用。关于tpm172,该模块可以为可用于认证软件和硬件设备的芯片的形式。例如,tpm能够执行平台认证并且可以用于验证寻求访问的系统为期望的系统。
系统100在通电时可以被配置成执行存储于spi闪存166内的用于bios168的启动代码190,并且然后在(例如,存储于系统存储器140中的)一个或更多个操作系统和应用软件的控制下处理数据。操作系统可以存储于各种位置中的任意位置并且例如根据bios168的指令被访问。
另外,虽然为了清楚起见没有示出,但是在一些实施方式中系统100可以包括感测和/或测量系统100的取向并且向处理器122提供与此有关的输入的陀螺仪。系统100还可以包括加速计和音频接收器/麦克风,其中,加速计感测系统100的加速度和/或运动并且向处理器122提供与此有关的输入,音频接收器/麦克风基于检测到的音频(例如,经由用户向麦克风提供音频输入)从该麦克风向处理器122提供输入。
再者,系统100可以包括收集一个或更多个图像并且向处理器122提供与此有关的输入的相机。相机可以是热成像相机、数字相机例如网络摄像头、三维(3d)相机以及/或者以其他方式集成到系统100中并且能够由处理器122控制以收集图片/图像和/或视频的相机。另外,同样为了清楚起见没有示出,系统100可以包括被配置成从至少一个卫星接收地理位置信息并且将信息提供给处理器122的gps收发器。然而,要理解的是,根据本原理可以使用除了gps接收器以外的另外的合适的位置接收器来确定系统100的位置。
要理解的是,示例性客户端设备或其他机器/计算机可以包括比图1的系统100上示出的特征少或多的特征。在任何情况下,至少基于上述内容要理解的是,系统100被配置成执行本原理。
现在转向图2,示出了根据本原理通过网络200例如因特网进行通信的示例设备。要理解的是,参照图2描述的每个设备可以包括上述系统100的特征、组件和/或元件中的至少一些。
图2示出了笔记本计算机和/或可转换计算机202、台式计算机204、可穿戴设备206例如智能手表、智能电视机(tv)208、智能电话210、平板计算机212以及服务器214,其中,服务器214例如可以提供设备202至212可访问的云存储的因特网服务器。要理解的是,设备202至214被配置成通过网络200彼此通信以执行本原理。
参照图3,其示出了根据本原理的可以由用于认证用户的设备例如系统100来执行的示例逻辑。从框300开始,逻辑可以接收来自用户的输入以发起认证,使得用户可以登录到给定系统例如特定设备、特定存储区、特定网络、特定的基于网络的门户服务或在线服务等。响应于在框300处接收到的输入,逻辑可以移至框302。
在框302处,逻辑可以访问与已经由例如系统管理员配置或授权供使用以向系统认证用户的认证形式有关的数据。每种认证形式可以分别与权重和/或强度水平相关联。为了简单起见,在下文中将权重和/或强度水平简称为“权重”。权重可以由系统管理员、用户以及/或者被赋予设立相应权重权限的另外的人员来限定。每个权重可以与关联于该权重的给定认证形式的认证强度有关。
从框302,逻辑可以进行至框304。在框304处,逻辑可以识别要满足的用于认证的第一预定权重和和/或强度条。为了简单起见,在下文中将权重和和/或强度条简称为“权重和”。第一预定权重和可以是由用户或系统管理员设立的默认权重和,以及/或者可以是如本文进一步阐述的要用于认证的权重和中的最低权重和。
注意,在框302处访问的数据和在框304处识别的第一预定权重和二者可以存储在执行图3的逻辑的设备可访问的存储位置中并且从该存储位置来识别,如本文公开的其他权重数据与权重和那样。另外,要理解的是,在一些示例中可以使用执行图3的逻辑的设备可访问的关系数据库来将特定的认证形式分别与给定的权重相关联。
从框304,逻辑可以进行至框306。在框306处,逻辑可以选择在框302处访问的认证形式中一种或更多种。该选择可以例如随机做出但使得在随机选择认证形式时所选认证形式的相应权重最终总计至少达第一预定权重和。另外地或替选地,可以基于用于应当使用何种认证形式来满足第一预定权重和的一组预配置规则来做出选择。
提供一个示例,假设第一预定权重和是15。还假设,密码认证形式具有相关联的权重10,以及使用钥匙卡的认证具有相关联的权重5。基于这两个权重总计达15并且因此满足第一预定权重和,逻辑可以选择这两种认证形式供用户用于认证他自己或她自己。
作为另一示例,再次假设第一预定权重和是15。还假设,密码认证形式具有相关联的权重10,以及指纹认证形式具有相关联的权重8。基于这两个权重首先由执行本原理的设备随机选择,并且基于这两个权重总计达18,第一预定权重和15被满足并且实际上被超过了3——因为这两个权重之和是18。因此,逻辑可以选择这两种认证形式供用户用于认证他自己或她自己。
仍参考框306,注意,除了或者代替随机选择或基于预定协议或算法来选择至少一些认证形式,也可以基于用户输入来选择认证形式。例如,可以在用户界面(ui)上呈现具有各种相应权重的各种认证形式以供用户选择,其中,在框306处基于以下来选择特定形式以用于认证:基于选择特定形式的用户输入并且基于所选认证形式的相关联的权重至少总计达第一预定权重和。此外,在一些示例中,不允许用户向前以尝试认证他自己或她自己,至少直到用户选择了足以满足第一预定权重和的认证形式。
基于所选认证形式满足第一预定权重和,逻辑可以从框306移至框308。在框308处,逻辑可以呈现允许使用所选形式进行认证的ui,或者相反,提示用户使用所选形式来认证他自己或她自己并且启用这样的认证。例如,对于用户名和密码认证,可以呈现具有针对用户名和密码的输入字段的ui,并且基于是否已经向ui输入了有效用户名和对应密码的输入来执行认证。作为另一示例,对于指纹认证,可以启用指纹阅读器以接收来自用户的指纹输入,并且基于是否向指纹阅读器提供了有效指纹输入来执行认证。
因此,在框308处允许使用所选形式进行认证之后,逻辑可以接收来自用户的认证输入并且移至决策菱形框310。在菱形框310处,逻辑可以基于从用户接收的认证输入例如密码输入或指纹输入来确定对于向系统认证用户而言输入是否是有效的并且因此确定认证是否成功。例如,逻辑可以将接收到的用户名和密码与将有效用户名和相应的有效密码相关联的关系数据库中的条目进行比较,并且然后可以基于接收到的用户名和密码与关系数据库中的条目匹配,认证是成功的。作为另一示例,逻辑可以将接收到的指纹扫描与存储在执行本逻辑的设备可访问的位置中的一个或更多个指纹模板进行比较,并且然后可以基于接收到的指纹扫描至少在预定义的容限内与模板中之一匹配,认证是成功的。
响应于菱形框310处的肯定确定,逻辑可以进行至框312,在框312处可以允许对用户正寻求访问的系统的访问。然而,响应于菱形框310处的否定确定,逻辑可以改为进行至框314。在框314处,逻辑可以拒绝对系统的访问并且然后进行至框316。
在框316处,逻辑可以识别对于随后的认证尝试而言要满足的第二预定权重和,并且第二预定权重和可以高于第一预定权重和。例如,如果第一预定权重和是15,则第二预定权重和可以是17。
从框316,逻辑可以进行至框318。在框318处,逻辑可以选择一种或更多种认证形式以满足第二预定权重和。该选择可以例如随机做出但使得在随机选择认证形式时所选认证形式的相应权重最终总计至少达第二预定权重和。也可以基于用户输入来做出选择,以及/或者可以基于用于应当使用何种形式来满足第一预定权重和的一组预配置规则来做出选择。另外,在一些实施方式中,在框318处的选择可以被做出成使得在框318处选择的认证形式中的至少一个——如果不是全部的话——不同于在框306处选择的认证形式。
从框318,逻辑然后可以移至框320。在框320处,逻辑可以允许使用在框318处选择的认证形式进行认证。在框320处允许认证之后,逻辑可以接收来自用户的认证输入并且移至决策菱形框322。在菱形框322处,逻辑可以基于从用户接收的针对在框318处选择的认证形式的认证输入来确定对于向系统认证用户而言输入是否是有效的并且因此确定认证是否成功。
响应于在菱形框322处的肯定确定,逻辑可以进行至框312,在框312处可以允许对用户正寻求访问的系统的访问。然而,响应于在菱形框322处的否定确定,逻辑可以拒绝对系统的访问并且改为进行至图4所示的框400。
在框400处,逻辑可以识别对于再一次认证尝试而言要满足的第三预定权重和,并且第三预定权重和可以高于第一预定权重和与第二预定权重和。例如,如果第一预定权重和是15,第二预定权重和是17,则第三预定权重和可以是20。
从框400,逻辑可以进行至决策菱形框402。在菱形框402处,逻辑可以确定是否剩余一种或更多种认证形式以用于允许用户的认证,例如在对于每次认证尝试要使用不同认证形式的实施方式中。然而,在对于随后的认证尝试可以使用相同的形式的实施方式中,逻辑可以改为从菱形框322直接进行至框404,或者从框400直接进行至下文将描述的框408。
仍参考菱形框400,要理解的是,可以基于是否留下在本文所阐述的过程期间尚未被使用并且具有合起来总计达第三预定权重和的相应关联权重的足够可用认证形式来做出关于是否剩余足够的认证形式用于允许用户的认证的确定。
响应于在菱形框402处的否定确定,逻辑可以进行至框404。在框404处,逻辑可以拒绝用户在至少阈值时间量例如24小时内对系统的访问。因此,可以在至少阈值时间量内不允许使用已经针对该用户配置的任何认证形式/模式的对用户的认证。
另外地或替选地,但是仍在框404处,逻辑可以发起针对用户的认证重置。因此,用户会被提示针对在上文所阐述的过程期间所使用的以及/或者不论在该特定过程中是否使用但与用户相关联的至少一种或甚至全部认证形式来重新设立他的或她的认证凭证。
从框404,逻辑然后可以移至框406,在框406处逻辑可以通过例如发送电子邮件来向用户和/或系统管理员通知失败的认证尝试,其中,所述电子邮件指示失败的认证尝试、失败的认证尝试发生的次数、尝试要使用的认证形式及其相关联的权重、尝试认证的位置和/或设备等。
再次参考决策菱形框402,响应于肯定确定而非否定确定,逻辑可以从菱形框402移至框408。在框408处,逻辑可以如本文所描述地(例如,随机地、基于用户输入等)选择一种或更多种(例如,不同的)认证形式以满足第三预定权重和。
从框408,逻辑然后可以移至框410。在框410处,逻辑可以允许使用在框408处选择的认证形式进行认证。在框410处允许认证之后,逻辑可以接收来自用户的针对在框408处选择的认证形式的认证输入并且然后移至决策菱形框412。在菱形框412处,逻辑可以基于从用户接收的认证输入来确定对于向系统认证用户而言输入是否是有效的并且因此确定认证是否成功。
响应于在菱形框412处的肯定确定,逻辑可以进行至框414,在框414处可以允许对用户正寻求访问的系统的访问。仍在框414处,可以设立设置,以将第一权重和或第二权重和用于随后的阈值数目的使用用户认证凭证的认证尝试。
例如,基于如上所述认证失败至少一次以及/或者对系统的访问被拒绝至少一次,可以将相对较高的第二权重和用于随后的阈值数目的认证尝试以向系统提供增强的安全性。然而,在其他实施方式中,成功的认证可以将针对用户认证凭证的系统安全性重置成初始默认水平,并且因此可以将第一权重和用于随后的认证尝试,至少直到使用用户凭证的另一认证尝试不成功,在使用用户凭证的另一认证尝试不成功的情况下,可以如本文所述地再次使用相对较高的权重和。
再次参考决策菱形框412,注意,响应于在菱形框412处的否定确定,逻辑可以移至框416,在框416处逻辑可以拒绝在至少阈值时间量内对系统的访问,其中,该阈值时间量可以与上文参考框404所述的阈值时间量相同或者不同(例如,多于上文参考框404所述的阈值时间量)。同样在框416处,可以设立设置以将第三权重和用于随后的阈值数目的使用用户认证凭证的认证尝试,其中,该阈值数目可以与上文参考框414所述的随后的认证尝试的阈值数目相同或不同(例如,大于上文参考框414所述的随后的认证尝试的阈值数目)。从框416,逻辑然后可以进行至框406并且如上所述地提供通知。
现在描述图5,其示出可呈现在执行本原理的设备例如执行上文参照图3和图4所讨论的逻辑的设备可访问的显示器上的示例用户界面(ui)500。ui500可以用于提示用户选择要使用以向系统(例如,特定网络、设备或在线服务)认证他自己或她自己的一种或更多种认证形式或认证类型。因此,ui500可以包括提示502,该提示502要求用户选择一种或更多种认证形式以满足在提示502中指示的权重和/强度条,在该示例中所述权重和/强度条是权重和/强度条15。
ui500还可以包括多个选项504,所述多个选项504可使用在每个选项附近示出的相应单选按钮来选择,以使用每个选项504的相应认证类型执行对用户认证。在所示示例中,示例性认证类型包括:指纹认证;密码认证;使用钥匙卡的认证或者其他射频识别(rfid)/无线芯片认证;钥匙卡个人识别号码(pin)认证,在该钥匙卡个人识别号码认证中要输入与钥匙卡相关联的个人识别号码;以及询问问题认证,在该询问问题认证中针对认证询问与用户有关的问题,例如用户出生于哪座城市或者用户母亲的婚前姓是什么。
另外,要理解的是,在一些实施方式中所呈现的多个选项504可以反映用于认证用户的一些但非全部的可用认证形式,用户仅被允许在所列出的类型中选择,而不允许在未列出的其他可用类型中选择。在这样的实施方式中,每次呈现选项列表时,可以呈现认证形式的不同组合。
注意,在任何情况下,图5所示的每个选项504可以包括在括号中的指示与相应选项相关联的权重/强度水平的伴随指示。还要注意,总权重和/强度条指示器506被示出为与当前选择的选项的总权重和/强度条有关。在该示例中,因为到目前为止仅选择了具有强度水平10的密码选项,所以指示器506指示已经选择了具有总权重和/强度条10的选项。此外,在一些实施方式中,可以不允许用户进行至使用所选认证类型认证他自己或她自己,直到如指示器506所反映的权重和/强度条被满足。
图5的ui500可以是要呈现以供用户选择要使用的一种或更多种认证形式以满足上文参照图3讨论的第一预定权重和的ui的示例。因此,基于图5可以理解的是,用户可以通过选择用一个或两个相对强的因子或者用包括一些相对较弱因子的因子的较大的组合进行认证来满足基础认证强度条。
现在参照图6,其示出了根据本原理的可呈现在显示器上的同样提示用户选择要用于向系统认证他自己或她自己的一种或更多种认证形式或认证类型的示例ui600。ui600可以包括提示602,该提示602指示先前的认证尝试失败并且要求用户选择一种或更多种认证形式以满足在提示602中指示的权重和/强度条,在该示例中所述权重和/强度条是强度条20。因此,要理解的是,图6所示的示例性ui600可以在图5所示的ui500被呈现之后并且在单一认证过程期间在例如当用户试图使用ui500上列出的由用户选择的模式进行认证时认证失败的情况下被呈现。因此,失败的认证尝试导致权重和/强度条从15升高到20。
如根据图6可以理解的,ui600可以包括选项604,所述选项604可使用在每个选项附近示出的相应单选按钮来选择,以使用每个选项604的相应认证类型执行对用户的认证。在所示示例中,未给予用户选择认证形式以满足强度条20的很多余地,而是相反在ui600上指示了两个选项,每个选项具有强度水平10,因此每个选项应当被选择以便供用户使用强度条20来认证他自己或她自己。如根据图6可以理解的,在ui600上呈现的示例认证类型是视网膜扫描认证和语音识别认证。
ui600还可以包括与当前从ui600选择的选项的权重和/强度条有关的总权重和/强度条指示器606。在本示例中,因为尚未选择任何选项,所以指示器606指示到目前为止已经选择了具有总权重和/强度条0的选项。此外,在一些实施方式中,可以不允许用户进行至使用所选认证类型认证他自己或她自己,直到如指示器606所反映的权重和/强度条被满足。
现在参照图7。图7示出了基于两次或更多次认证尝试失败而能够呈现在显示器上的示例ui700,其中,与初始尝试相比后一次尝试必须满足较高的强度条;然而,在其他实施方式中,可以基于单次尝试失败来呈现ui700。在任何情况下,ui700可以包括指示702:认证失败以及将拒绝在至少阈值时间量内使用(例如,用于任何可用的认证类型的)用户认证凭证对寻求访问的系统的访问,其中,在本示例中所述阈值时间量为24小时。
ui700还可以包括指示704:已经发起认证重置。更进一步,ui700可以包括指示706:基于失败的认证尝试,对于接下来三次用于认证用户的过程,将必须满足强度条20。如果认证尝试并非如指示器702所指示那样是失败的,则随后要满足的强度条可以已经较低。该情况的示例在图8中示出。
因此,图8示出了ui800,该ui800包括指示802:使用一种或更多种选择的认证模式的认证尝试已经成功。ui800还包括指示804:基于第一次认证尝试失败但是第二次认证尝试成功,对于接下来三次用于认证用户的过程,将必须满足强度条17。如果经由第一次尝试已经认证成功,则强度条可以保持在了较低的水平(例如,15),但是因为第一次尝试失败,所以对于接下来的三次认证过程,将必须满足中间水平17。
继续参照图9的详细描述,图9示出了可呈现在执行本原理的设备能够访问的显示器上的配置认证设置的示例性ui900。ui900可以包括第一选项902,该第一选项902可使用在其附近示出的单选按钮来选择以启用本文所公开的“条-升高”(“bar-raising”)认证。例如,可以选择第一选项902以使得能够根据上文参照图3和图4所述的逻辑来执行认证。
ui900还可以包括第二选项904,该第二选项904可使用在其附近示出的单选按钮来选择以允许用户针对给定的认证尝试来选择要使用的认证形式,而不是设备为用户选择形式——这在该示例中是默认的。然而,并非是默认,在其他实施方式中,ui900可以包括以下选项:该选项可选择成不允许用户针对给定的认证尝试来选择认证形式,并且相反地使得设备选择要使用的各种认证形式以满足给定的强度条(例如,基于预定协议)。
ui900还可以包括选项906、910,用于设置根据本原理的要用于认证尝试的逐渐增加的权重和/强度条。因此,可以通过向输入框908提供输入来设置第一强度条,同时可以通过向输入框912提供输入来设置较高的第二强度条。此外,注意,虽然仅示出了两个这样的选项,但是也可以呈现第三强度条选项以用于以类似方式配置第三强度条。
图9还示出了可以在ui900上包括选择器914。选择器914可以是可选择的,以使得呈现另一ui,在该另一ui处用户/系统管理员可以针对各种认证形式来设立权重/强度水平。
从图9继续前进,根据本原理要理解的是,要使用的初始权重和/强度条还可以基于给定用户对系统具有何种访问水平以及/或者用户寻求何种访问水平而变化。例如,与如果用户登录至设备以访问安全存储区相比,如果用户仅登录至同一设备以播放视频游戏,则可以使用相对较低的初始强度条。
在总结之前,要理解的是,虽然用于执行本原理的软件应用可能与诸如系统100的设备一起销售,但是本原理适用于以下实例:在该实例中,这样的应用通过网络例如因特网从服务器被下载至设备。此外,本原理适用于以下实例:在该实例中,这样的应用包括在正被销售和/或提供的计算机可读存储介质上,计算机可读存储介质不是暂态信号和/或本身不是信号。
要理解的是,虽然已经参照一些示例性实施方式描述了本原理,但是这些示例性实施方式并非意在进行限制,而是可以使用各种替选布置来实现本文请求保护的主题。包括在一个实施方式中的组件可以以任何合适的组合用于其他实施方式中。例如,可以将文中描述的和/或图中描绘的各种组件中的任何组件进行组合、互换或者从其他实施方式中排除。