ウェブサイトに「ロックを追加」動的パスワードを簡単に実現

インターネットの普及に伴い、ネットワークセキュリティの問題はますます深刻になっています。有名な技術交流コミュニティCSDNが600万人以上のユーザーのプレーンテキストパスワードが流出したことを明らかにした後、天亜コミュニティの4000万人のユーザーのプレーンテキストパスワードも世界に流出しました。その後すぐに、Renren、Kaixin、Mop、さらにはJD.com、Dangdang、Alipayなどの電子商取引サイトもパスワード漏洩問題を報告しました。数百万、数千万のユーザーデータがパブリックネットワークプラットフォームで裸で露出され、インターネットのセキュリティ問題がますます深刻化していることを懸念させます。

現在、多くの電子商取引サイトや銀行のウェブサイトでは動的パスワード サービスを採用しており、ユーザーの情報と資金のセキュリティが大幅に強化されています。主な方法は次のとおりです。

1. 動的パスワード カード: スクラッチ カードと同様に、現在のパスワードは 2 つの水平および垂直のインジケーターによって決定されます。

共通: 銀行のパスワードカードなど。

デメリット: 持ち歩く必要があり、簡単にコピーや写真撮影が可能で、セキュリティが比較的低く、使用が制限されます。

2. ハードウェア トークン: 特殊なアルゴリズム (通常は時間アルゴリズム) に基づいて、予測不可能な乱数の組み合わせを生成します。各パスワードは 1 回しか使用できず、データ比較のために U シールドに似たハードウェアを挿入する必要があります。

コモン: U シールド、QQ トークンなど。

デメリット: 持ち運ぶ必要があり、使いにくく、ハードウェアのコストが高額です。

3. 携帯電話のパスワード: 1 つはソフトウェアを通じて動的なパスワードを生成する方法であり、もう 1 つはより簡単な方法で、SMS を通じて確認コードを取得して本人確認を行う方法です。

共通: QQ モバイル トークン、Alipay 支払いモバイル検証コードなど。

デメリット: 携帯電話にバインドする必要があるため、携帯電話番号が変更されると面倒です。メッセージの受信が遅れたり、受信できなかったりすることがあります。Web サイトは SMS プラットフォームを展開する必要があり、大量の SMS メッセージには多くのコストがかかります。

上記の方法にはそれぞれ利点がありますが、いずれも大きな問題があります。つまり、中小規模の Web サイトの展開には適しておらず、多くの時間と費用がかかり、ユーザーに大きな負担をかけます。では、より便利で高速かつコストのかからないセキュリティ パスワード ソリューションはあるのでしょうか。

著者は、ネットワーク構築における長年の経験を通じて、さまざまな言語で書かれたウェブサイトに適しており、中小規模のウェブサイトに迅速に導入できる、シンプルで効果的な動的パスワード実装計画をまとめ、発明しました。

中小規模のウェブサイトのユーザーがログインする一般的な方法は、「ユーザー名+パスワード」または「ユーザー名+パスワード+確認コード」です。MD5暗号化を使用しても、パスワードの入力プロセスが隣の人に見られたり、コンピューターのバックグラウンドでトロイの木馬に記録されたりするため、顧客のパスワードが漏洩しないことを保証することはできません。この問題を解決したい場合は、パスワードを監視するトロイの木馬またはそれを見ている人をだますことしか方法がありません。つまり、彼らが見たり記録したりするパスワードは実際のパスワードではありません。パスワードはいつでも変更されるからです。

具体的な解決策: 元の「ユーザー名 + パスワード」オプションは引き続き保持され (検証コードは完全にキャンセルできます)、動的なパスワード ボックスが追加されます。検証では、ログインする前に 3 つの結果が一致する必要があります。

以下では、動的パスワード ボックスの設計方法に焦点を当てて説明します。著者が採用した方法は、「時間アルゴリズム」を使用して動的パスワードを生成することです。時間は毎分毎秒変化するため、時間をアルゴリズムとして使用すると、動的パスワードの適時性を確保できます。つまり、前の秒のパスワードは次の秒で無効になります。例えば、現在時刻が「14:28 分 54 秒」の場合、動的パスワードを「142854」に設定し、バックグラウンドで現在時刻を取得して「A」に設定します。入力ボックスの値は「B」です。「142854」を入力すると、「B = A」が検証されます。入力時の時間差を回避するために、フロントエンドで時間を直接「A」に割り当て、バックグラウンドで比較することができます。

もちろん、実際のアプリケーションでは、時間を動的パスワードとして直接使用することはできません。これは単純すぎるだけでなく、複数の人がこのシステムを共有することも不可能です。したがって、「時間」に基づいて作業する、つまり、各人に特定のアルゴリズムを設定する必要があります。上記の時間「14:28分54秒」を例に、これを分割してアルゴリズムを強化します。覚えやすいように、時間を「14、28、54」の3つの部分に分割し、数字「365」を追加のパスワードとして使用します。式は次のとおりです。「14+3、28+6、54+5」、つまり、最終的な動的パスワードは実際には「173459」です。よりセキュリティを強化したい場合は、「+-*÷」を導入するなど、これに基づいて変更し続けるように設定できます。追加パスワードは、誕生日、ID番号など、覚えやすい任意の数字にすることもできます。「時間+追加コード」は、特定のアルゴリズムを通じて自由に組み合わせることができます。

はい、完了です。パスワードを設定した人以外は誰もこのパスワードがどのように取得されたかを推測できず、パスワードは毎秒変化します。最も重要なことは、プログラマーにとって、これを展開するのに 10 分しかかからないことです。

この記事についてご質問がある場合、または展開中に問題が発生した場合は、著者 (QQ: 622569) にお問い合わせください。

文：曹建祥

元のタイトル: ウェブサイトに「ロックを追加」動的パスワードは簡単に実現できます

キーワード: 動的パスワード、動的パスワード、ウェブサイトのセキュリティ、ウェブマスター、ウェブサイトのプロモーション、収益化