提高用戶賬戶訪問安全性的系統(tǒng)和方法
【專利摘要】本申請涉及提高用戶賬戶訪問安全性的系統(tǒng)和方法���。本發(fā)明的一種形式為用戶提供了一種通過帶有可視化顯示屏的電子設備來訪問賬戶的系統(tǒng),包括向用戶分配至少一個安全標識符的通信裝置����,該安全標識符包括從一個預設字符集中選取的一個或多個字符�;一個用于存儲上述至少一個安全標識符和上述預設字符集的數(shù)據(jù)庫���;一個處理器�����,用于在上述可視化顯示屏上為上述用戶提供一個訪問界面�,其中該訪問界面包括一個圖形顯示字符集���,其至少包括構成安全標識符的字符���。
【專利說明】提高用戶賬戶訪問安全性的系統(tǒng)和方法
[0001 ] 本申請是分案申請,其母案申請的國際申請?zhí)柺?PCT/AU2010/001360�,國家申請?zhí)柺?201080046835.0,國際申請日是:2010.10.14�,發(fā)明名稱是:“提高用戶賬戶訪問安全性的系統(tǒng)和方法”。
發(fā)明領域
[0002]本發(fā)明涉及一種用戶訪問賬戶的系統(tǒng)和方法�����,尤其是提高用戶在輸入具體登錄信息時的安全性��,如登錄互聯(lián)網網站����、網絡����、軟件和網絡應用程序等��。
[0003]發(fā)明背景
眾所周知��,用戶通過在小型鍵盤或鍵盤上輸入詳細的身份識別信息來登錄網絡���、互聯(lián)網網站����、軟件和網絡應用程序����、手機等��。例如�,金融機構提供的網上銀行服務需要用戶在鍵盤上輸入用戶名和密碼來訪問其賬戶信息、轉賬����、支付賬單等�。即使是自動取款機(簡稱ATM)也需要對用戶身份和以個人識別號碼(簡稱PIN)為形式的密碼進行識別����。
[0004]在通過網絡,尤其是互聯(lián)網等公共網絡使用鍵盤輸入用戶名和密碼時��,用戶會面臨某些風險����。第三方已發(fā)明出各種手段來盜取用戶名和密碼,比如通過鍵盤記錄�����、信息劃取設備��、密碼猜測和網絡釣魚����。
[0005]鍵盤記錄是一種記錄鍵盤擊鍵的行為,通常是以一種隱蔽的方式進行����,因此使用鍵盤的人對自身行動正在受到監(jiān)控一事渾然不覺。這一般是在用戶毫不知情的情況下,通過在用戶的計算機上安裝軟件程序來實現(xiàn)的��。
[0006]信息劃取設備會與自動取款機等計算機硬件相連��,并在用戶使用鍵盤時收集用戶輸入的信息��。例如���,仍然是在客戶毫不知情的情況下����,連接到一臺自動取款機的信息劃取設備可收集銀行客戶的賬戶信息���、用戶名��、密碼和PIN�。
[0007]密碼猜測程序能夠通過飛快地瀏覽一部字典中所有詞等方式實現(xiàn)自動猜測用戶密碼����。
[0008]網絡釣魚是一種試圖獲取用戶名�、密碼和信用卡信息等敏感信息的過程,比如通過偽裝成一個受信任的電子通信實體的方式���。通常情況下�,用戶會收到一封看起來似乎是來自于一家受信任機構的合法電子郵件,該郵件會要求用戶點擊一個鏈接并輸入用戶名和密碼�。然而,該鏈接會將用戶帶到一個由第三方操作的虛假網站而不是該機構的官方網站�,從而導致用戶的用戶名和密碼被第三方盜取。
[0009]由于存在固有的安全風險�����,許多客戶拒絕進行網上銀行或電話銀行交易��。這不僅給客戶帶來不便����,而且也使金融機構在客戶需要通過網上銀行進行交易時無法獨立執(zhí)行其整個網上銀行業(yè)務。
[0010]解決上述安全問題的現(xiàn)有嘗試主要集中在防止此類設備和軟件的安裝上�,但在此類設備和軟件成功安裝后,就無計可施了�����,而且也無法有效防范以上所有安全威脅���。
[0011]可通過賬戶鎖定機制來抵御密碼猜測程序�,但由于計算機能力和用戶數(shù)據(jù)庫管理限制,通常這些機制無法在網絡上使用���。當使用時���,這些機制通常會把其安全性能設置成最低級別,以便不給用戶帶來不便����。
[0012]數(shù)字證書被用于防止用戶名和密碼的盜用,但在高端應用中����,如果設備安全被破壞或數(shù)字證書被盜,則這種方法無法制止對信息的訪問�����。此外����,數(shù)字證書還需要終端用戶具有相當高水平的操作技巧,對大多數(shù)用戶來說�,通常達到這一程度都需要技術員的指導��。由于這樣的話機構需要有大量的服務臺,這使得在互聯(lián)網或廣域網(簡稱WAN)應用程序中使用數(shù)字證書的成本過高�,而且終端用戶獲得現(xiàn)場技術指導的費用也較高。由于操作系統(tǒng)必須與數(shù)字證書相兼容�����,而操作系統(tǒng)的不斷演化和發(fā)展將數(shù)字證書的管理進一步復雜化�。當能夠使用移動通信網絡來訪問互聯(lián)網且各自帶有不同專有操作系統(tǒng)的設備得到大范圍普及時,這個問題將更加突顯��。
[0013]“SiteKey”是一種專門用于防止網絡釣魚攻擊的現(xiàn)有系統(tǒng)����。它是一種基于網絡的安全認證系統(tǒng),通過提出一系列身份驗證問題來增加安全性���。用戶在登錄網站時通過輸入其用戶名(但無需輸入密碼)來驗證身份����。如果用戶名有效�����,則系統(tǒng)會向用戶一同顯示出已預先設置的圖像和提示語����。如果經用戶識別��,該圖像和提示語不是自身所設置���,則用戶即推斷該網站是釣魚網站并放棄登錄。如果用戶識別出該圖像和提示語���,則用戶可將該網站視為正式網站并繼續(xù)進行登錄����。
[0014]然而�,SiteKey系統(tǒng)被發(fā)現(xiàn)存在漏洞。最重要的是�,它無法抵御某些最常見的釣魚場景,因為它會要求用戶回答問題����,但這樣個人信息就會被透露,從而危及用戶隱私����,這就為中間人攻擊提供了便利,并導致用戶名被大量盜取��。此外,人們也發(fā)現(xiàn)����,即使在SiteKey圖像和提示語沒有出現(xiàn)的情況下�����,用戶也很容易提供其登錄信息��。因此��,它的設計并不是很成功����,而且因為個人信息的泄露,在某些情況下增加了身份盜取事件的發(fā)生�,網絡釣魚者仍然可以相對輕松地從攻擊目標處非法竊取信息。
[0015]因此����,有必要提高用戶在輸入登錄信息以訪問用戶賬戶時的安全性,以至少使上文所述的某些安全威脅得到抑制��。
發(fā)明概要
[0016]概括而言�����,本發(fā)明采用圖形顯示訪問界面來顯示一組預設的字符集,用戶可從中選擇至少構成一個唯一的安全標識符的一個或多個字符�。
[0017]本發(fā)明的一個方面提供了一種通過帶有可視化顯示屏的電子設備來訪問用戶賬戶的方法,該方法包括以下步驟:向用戶分配至少一個安全標識符�、該安全標識符包括從一個預設字符集中選取的一個或多個字符,其中所述預設字符集中的至少一個字符是非字母數(shù)字字符;在上述可視化顯示屏上向上述用戶提供一個訪問界面以輸入上述安全標識符����,其中該訪問界面包括一個圖形顯示字符集,其至少包括組成上述安全標識符的字符的圖形表示;允許上述用戶通過選取圖形顯示字符集中的字符來輸入上述安全標識符;并將上述輸入的安全標志符與存儲在數(shù)據(jù)庫中的預設安全標識符進行比對�,如果比對成功,則系統(tǒng)允許訪問上述用戶賬戶�����。
[0018]本發(fā)明的第二個方面提供了一種通過帶有可視化顯示屏的電子設備來訪問用戶賬戶的系統(tǒng)��,其包括:用于向用戶至少分配一個安全標識符的通信裝置�,該安全標識符包括從一個預設字符集中選取的一個或多個字符,其中所述預設字符集中的至少一個字符是非字母數(shù)字字符;一個用于存儲上述至少一個安全標識符和上述預設字符集的數(shù)據(jù)庫��;一個在上述可視化顯示屏上向上述用戶顯示一個訪問界面的處理器���,其中該訪問界面包括一個圖形顯示字符集���,其至少包括構成安全標識符的字符的圖形表示;此外�,該處理器也用于將上述用戶輸入的圖形顯示字符集上的上述安全標識符與存儲在上述數(shù)據(jù)庫中的安全標識符進行比對��,并將所輸入的上述安全標識符與存儲在上述數(shù)據(jù)庫中的預設安全標識符進行比對��,如果比對成功�,則系統(tǒng)允許訪問上述用戶賬戶���。
[0019]本發(fā)明的第三個方面提供了一種通過帶有可視化顯示屏的電子設備來訪問用戶賬戶的系統(tǒng)�����,其包括:用于接收至少一個安全標識符的第一個通信裝置��,該安全標識符包括從一個預設字符集中選取的一個或多個字符�����,其中所述預設字符集中的至少一個字符是非字母數(shù)字字符;一個帶有一個可視化顯示屏的電子設備�����,用于請求訪問用戶賬戶并接收一個訪問界面以輸入上述安全標識符��,其中該訪問界面包括一個圖形顯示字符集�,該字符集至少包括組成安全標識符的字符的圖形表示,此外�,如果所輸入的安全標識符與存儲在數(shù)據(jù)庫中的預設安全標識符比對成功,則還可用于訪問上述用戶賬戶�。
[0020]本發(fā)明的第四個方面提供了一種訪問用戶賬戶的系統(tǒng),包括:通信裝置����,用于接收請求訪問上述用戶賬戶的請求并響應該請求發(fā)送一個訪問界面,其中該訪問界面包括一個圖形顯示字符集��,該字符集至少包括構成一個安全標識符的字符的圖形表示��,該安全標識符含有從一個預設字符集中選取的一個或多個字符��,其中所述預設字符集中的至少一個字符是非字母數(shù)字字符��;以及一個處理器��,用于接收并將上述安全標識符與存儲在數(shù)據(jù)庫中的預設安全標識符進行比對�,如果比對成功,則允許訪問上述用戶賬戶��。
[0021]此外,本發(fā)明還提供了一種軟件產品�����,用于有效地實施第一個方面的方法����。
[0022]在一種形式中,預設的字符集是用戶子集所獨有的�����。這提高了系統(tǒng)的安全性���,因為對于不同用戶或用戶子集,字符集是不同的���,這增加了密碼猜測程序可能需要猜測的字符數(shù)量����。
[0023]在另一種形式中�����,該預設字符集是用戶賬戶管理員所專有的。密碼猜測程序仍然難以確定提供給用戶的字符集����,因為每個管理員,比如每個機構�,能夠設計其自有的字符集。加上對不同用戶子集應用不同的字符集�,這進一步提高了安全性。
[0024]最好要求用戶逐個輸入一個以上的安全標識符��,理想情況下是在獨立的登錄屏幕上使用獨立的定制圖形顯示字符集來輸入每個安全標識符����,以此來提高安全性。例如��,用戶可能需要輸入用戶名��,然后輸入密碼����,然后輸入PIN。在其他形式中��,每個登錄屏幕可使用相同的字符集�����,或者可能只使用一個登錄屏幕。
[0025]每個分配的安全標識符的預設字符集可能是不同的���,這也有助于增加訪問系統(tǒng)的安全性��。
[0026]用戶最好通過在指點設備或觸摸屏上選擇圖形顯示字符集上的字符來輸入安全標識符�����。這樣��,按鍵記錄器就無法記錄傳統(tǒng)鍵盤上的擊鍵��,從而遏制其未經授權而訪問用戶的詳細信息�����。但是,在另一種形式中��,可使用一組鍵盤按鍵來選擇所顯示的字符��,比如Tab鍵和箭頭鍵���。
[0027]或者���,用戶可通過至少選擇圖形顯示字符集上的一個字符來輸入一部分安全標識符���,并通過選擇傳統(tǒng)鍵盤上的按鍵來輸入另一部分安全標識符。
[0028]有利的是��,針對每次嘗試性訪問行為��,該圖形顯示字符集都可以不同的順序或方向進行顯示�,以進一步抑制按鍵記錄器獲取用戶的詳細信息。
[0029]為了抑制密碼猜測程序�,在安全標識符被錯誤輸入預定的次數(shù)后,最好拒絕用戶賬戶訪問�����。此外���,如果選擇了未包括在內的字符���,即在容許的圖形顯示字符集以外的字符,那么最好也拒絕訪問用戶賬戶���。
[0030]在另一種形式中���,每個用戶的預設字符集和安全標識符可以是不同的����,以增加可能的選擇數(shù)量并增加猜測用戶標識符的難度�。
[0031]對于某些管理員或機構而言,訪問界面還可包含廣告����,使管理員從對其系統(tǒng)的使用中獲取額外的財政收益。
[0032]本發(fā)明的各個形式通過抑制鍵盤記錄���、信息劃取設備���、密碼猜測器和(或)網絡釣魚的威脅,提高了用戶為訪問用戶賬戶而輸入身份識別信息時的安全性���。比如,通過使用針對每個用戶而獨特定制�、與其固定賬戶名綁定、且只有在登錄時才顯示的圖形鍵盤字符集�,可防止網絡釣魚詐騙�����。通過利用這種方式����,當客戶被騙到一個非法網站時�,就不會出現(xiàn)讓用戶輸入其安全ID的必要自定義字符集。如果在多個登錄屏幕應用了不同的字符集���,那么就會產生復合效果���。如果沒有使用已知的鍵盤布局,尤其是標準鍵盤來輸入安全ID���,那么也能夠防止鍵盤記錄�。此外�,即使捕捉到擊鍵,選定字符的安全值也是第三方所未知的���,而且如果每次登錄時的字符布局都不同��,那么第三方也很難進行登錄或猜測�����。如果安全ID中未包括標準的字母和數(shù)字字符�,那么密碼猜測器也將得到遏制。此外����,通過使用管理員或機構專有的字符將使密碼猜測器難以奏效。在登錄時隨機打亂字符的順序和位置能夠抑制信息劃取設備的安全ID獲取功能�����。
[0033]據(jù)設想�,本發(fā)明還將有助于防止將合法互聯(lián)網流量轉移到虛假網站以間歇性獲取用戶登錄信息的域名地址欺騙、盜取和重定向技術�,因為當不存在所需的字符集時,用戶將不可能輸入其代碼��。
[0034]附圖簡要說明
現(xiàn)參考附圖�����,對本發(fā)明的說明性實施例進行講解����。所附講解也將進一步突顯本發(fā)明的特點和優(yōu)勢。
[0035]圖1是一個情境圖��,提供了本發(fā)明一個實施例中的系統(tǒng)概觀���;
圖2a到2j(以下簡稱“圖2”)顯示了一種本發(fā)明示例實施方法的流程圖����;
圖3是圖2方法的實施設置過程的總結概述�;
圖4是使用“用戶名”作為輸入欄名稱的示例一級輸入訪問界面和圖形顯示字符集;
圖5是使用“密碼”作為輸入欄名稱的示例二級輸入訪問界面和圖形顯示字符集��;
圖6是使用“PIN”作為輸入欄名稱的示例三級輸入訪問界面和圖形顯示字符集�;
圖7是示例安全ID創(chuàng)建訪問界面和圖形顯示字符集;
圖8是設置某個特定用戶的安全ID的示例管理員數(shù)據(jù)庫表格��;
圖9是設置某個特定用戶登錄的示例管理員數(shù)據(jù)庫表格�;
圖10是示例主字符集表格;
圖11是另一個示例主字符集表格����;
圖12是另一個實施例中的示例安全ID訪問界面,其中使用的是傳統(tǒng)鍵盤字符�����。
[0036]優(yōu)選實施例說明
本發(fā)明不針對任何特定的硬件或軟件實施,并且概念層次高于具體實施����。應當理解的是,在不脫離本發(fā)明精神或范圍的情況下��,可存在本發(fā)明的其他各種實施例以及對本發(fā)明進行的更改�����。下文有助于理解本發(fā)明特殊實施例的實際實施���。
[0037]如圖1所示��,用戶10通過網絡或應用程序12請求訪問在機構11所創(chuàng)建的賬戶����。該網絡可以是一個全球計算機網絡�����,如互聯(lián)網�。用戶10可通過一種帶有一個可視化顯示屏的電子設備來請求訪問,如手機、個人數(shù)碼助理(簡稱roA)��、黑莓手機��、筆記本電腦或個人計算機14��,或其他任何能夠訪問相關網絡或應用程序12的設備��,這可包括能夠訪問全球計算機網絡互聯(lián)網等網絡的終端���。該網絡可以是獨立的網絡、局域網���、廣域網��、互聯(lián)網�����、手機網絡�����、無線或有線網絡�。但是,本發(fā)明并不限于僅在網絡上使用�,還可用于登陸軟件或網絡應用程序等?�!熬W絡或應用程序”可被廣義地解釋為用戶10希望使用一種帶有可視化顯示屏的電子設備來訪問賬戶的任何手段�。服務器或處理器16包括一個用于通信的輸入/輸出設備15,該服務器或處理器用于接收用戶10發(fā)出的訪問請求并為用戶10啟動登錄進程����,使其輸入安全標識符,如用戶名�、密碼、漫游代碼����、PIN等。服務器或處理器16連接或包含一個用于存儲安全ID�����、字符集等的數(shù)據(jù)庫17�����。服務器或處理器16可由機構11進行操作���,或者由第三方進行操作�����,然后將結果傳達給機構11�����。服務器或處理器16通過網絡12發(fā)送一個登錄界面20并顯示在用戶10的設備14上�,提示用戶10輸入其安全標識符(簡稱“安全ID”)�。然后,用戶10輸入其安全ID(下文將進一步說明)后��,信息被傳輸回服務器或處理器16進行處理���。
[0038]根據(jù)一個實施例�,圖2的流程圖顯示了一種被
【申請人】稱為“可變專有字符集多級別登錄”(簡稱VPCSML)的示例訪問或登錄進程實施方法����。該方法可通過一個獨立軟件應用程序或集成現(xiàn)有的訪問應用程序來實施。
[0039]用戶10通過瀏覽器或其他界面來訪問其想要訪問的網站或應用程序��,并出現(xiàn)一個輸入屏幕���,屏幕上有可進行選擇的登錄選項�。一旦選定登錄,就會向賬戶管理員的服務器或處理器16發(fā)送一個請求100��。服務器或處理器16接收請求并發(fā)送一個登錄訪問界面20���,顯示在用戶10設備14的可視化顯示屏上���。界面20顯示出一個獨一無二的圖形顯示字符集102,該字符集是由管理員所創(chuàng)立的自定義字符集�,作為“鍵盤”供用戶10輸入其安全ID值,比如用戶名����、密碼、PIN等��。
[0040]用戶所需的安全ID值的數(shù)量取決于機構�、用戶嘗試訪問的賬戶以及所需的安全級另IJ。比如�����,對于某些登錄�����,可能僅需一個安全ID值(如用戶名),雖然通常情況下至少使用兩個安全ID值(如用戶名或賬號及密碼)���,理想狀態(tài)下是至少使用三個安全ID值(如用戶名��、密碼和PIN)���。在某些更高級別的安全情況中,會使用三個以上的安全ID值����。在本實施例中�,使用了三個安全ID值��,分別表示為一級值(用戶名)、二級值(密碼)和三級值(PIN)��。應當注意的是���,用戶名�����、密碼和PIN是用于說明以幫助理解的����。它們僅代表三個級別的安全ID代碼,可根據(jù)系統(tǒng)實施需要����,對代碼輸入欄進行任意命名。如果管理員使用獨特的輸入欄代碼名稱����,則可能獲得更高級別的保護,因為任何釣魚者都不知道向用戶索取哪種類型的代碼�。
[0041 ]圖4、5和6顯示了在用戶10設備14的可視化顯示屏上所顯示的示例圖形顯示字符集(簡稱“GDCS”)300���,但是根據(jù)所使用的技術平臺的能力和復雜性����,可使用任意組合和類型的字符�。
[0042]GDCS 300使用戶10能夠在可視化顯示屏上選擇用圖形表示的字符來構成用戶的安全ID并輸入所需值,從而對用戶賬戶進行訪問��。構成GDCS 300的預設字符可包括任何形式的字符或符號����,如字母302����、數(shù)字304�����、大寫306和小寫308�����、標點符號310及圖像或圖片312或不同顏色(未顯示)�。在整篇說明書和權利要求中,所有這些形式的字符或符號統(tǒng)稱為“字符”�����。每個安全ID最好至少包含一個每種形式的字符�,用以提高安全性(如至少一個數(shù)字�、圖像、字母等)����,因此字符集和GDCS 300將包括一種以上的字符形式���,但在其他實施例中,字符可能只有一種形式����,如全部都是圖像或全部都是字母數(shù)字字符。應當指出的是�����,GDCS 300并不會顯示預設字符集中的所有字符�,下文將對此作進一步說明。相反��,每次登錄時�����,只會顯示機構所有預設的字符集的一個子集����。
[0043]優(yōu)選實施例可通過包含至少三級或難以描述的三級以上級別的字符集中的某些字符來額外提升安全級別,使用戶很難受騙而口頭泄露此類信息����。在理想情況下��,對于所有代碼����,系統(tǒng)應執(zhí)行嚴格的保密政策����,而且絕不應該要求用戶在任何操作過程中透露代碼。
[0044]對于專有系統(tǒng)或管理員�����,字符集最好是獨一無二的����,并獨立于其他應用程序,通過僅限于編程人員知曉底層代碼以及加密來防止代碼在二進制級別遭到破解����,從而進一步提高安全性。一個字符集可應用于整個機構����、按照類型或組別分組的用戶或網絡子集,或者為主機界面所用��,使黑客更難以利用現(xiàn)成代碼���,因為這些代碼不會被編入自定義字符集��。這有助于增強編程員和用戶將每個字符進行數(shù)字組合�����,可進一步防御攻擊���,即使在機器代碼級別。
[0045]每次登錄時��,或者甚至在需要更高安全級別的極顯眼位置(如在ATM機進行操作時��,為防止劃取用戶的PIN)登錄時���,GDCS 300上顯示給用戶的字符順序和位置可能都是隨機的��。還可隨機改變每個字符集級別值的順序來進一步防止?jié)u進式的釣魚企圖(如首先輸入密碼�,然后是用戶名����,最后是PIN)����。
[0046]一旦用戶10的顯示屏接收到GDCS 300�,用戶10就會被提示輸入其一級值。該一級值最好由管理員事先設置好并且是用戶已知的���,并與一個只有管理員知曉的固定用戶賬戶名綁定��?�;蛘?�,用戶可點擊登錄屏幕上的鏈接或致電客戶服務中心來獲取系統(tǒng)的一級值��。
[0047]理想情況是固定用戶名從未透露給用戶并僅用于安全跟蹤�����。管理員可根據(jù)需要或定期隨意更改所有用戶代碼輸入欄��,而無需開設新賬戶�����,同時仍然保持賬戶安全�。如果賬戶被盜用����,則管理員僅需分配新的憑據(jù),而無需重新連接或傳輸數(shù)據(jù)庫信息�����,或者創(chuàng)建一個新的用戶訪問權限集���。
[0048]如上所述����,對于一個字符集的一組用戶��,一級值的設置需包含預設字符集中的字符�����,例如圖10或圖11所示的字符集�����。這樣,管理員就可以在不同的登錄網站上設置不同組的用戶�����,通過分散登錄界面而限制拒絕服務攻擊的影響���。一級值可以是基本的���,即可以只是一個名字“John Smith”或一個數(shù)字“1234”,不具有真正的安全性����,可以完全由字母和數(shù)字字符組成。但為安全起見��,用戶名最好至少包括一些上文所述的特殊字符�����,如圖像或標點符號���。
[0049]應當指出的是����,GDCS300不一定包括機構預設字符集中的所有字符。相反��,只會顯示給用戶一個可用字符子集����。在某些形式中�,所顯示的子集是隨機的,并且在每次嘗試登錄時都可能發(fā)生變化��。另外應當指出的是��,每次嘗試登錄時�,GDCS中字符的位置和順序也可發(fā)生變化,并且在某些形式中�����,甚至在用戶選定每個字符后就會改變��。
[0050]圖10和圖11所示的主預設字符集是為便于理解而提供的��,可使用任意數(shù)量的字符或圖片及兩者的組合����,并可從帶有相關子程序的各種不同類型的數(shù)據(jù)庫中選擇���,以進一步控制為每個字符集所挑選的字符。舉例來說�����,根據(jù)代碼級別��,子程序可能會將字符挑選限制為僅含有數(shù)字的網格�。對于特定用戶組配置文件,可包含其他選擇標準和表格�����,這有助于提供與用戶字符集更相關且更容易記憶的圖形圖像���。在某些安全級別���,如果定期重置密碼或需要較長的密碼長度,用戶可基于較為簡單的字符選項(如只是字母數(shù)字字符)來選擇用戶名或密碼等�。在某些情況下,如果經常重置密碼���,相對于只使用字母數(shù)字字符����,使用圖像字符可能不是最優(yōu)方案,因為用戶會發(fā)現(xiàn)很難記憶不斷更改的圖形字符�。如果某個特定安全級別要求使用非字母數(shù)字字符,可在設置管理數(shù)據(jù)庫中做適當標記���,詳見圖9中“所需的字符數(shù)” 一欄���。
[0051]用戶10最好使用指點設備或觸摸屏設備來輸入安全ID值����,而不是傳統(tǒng)鍵盤,以防止鍵盤記錄程序記錄擊鍵�����。但是�����,可將界面進行編程�����,使其使用鍵盤光標、Tab鍵及返回鍵來做簡單的圖形按鍵選擇�。這將有利于改造現(xiàn)有設備,同時�����,支持使用可提供圖形標準的更基本的PDA設備�����。如果不使用指點設備而是使用鍵盤光標�����、Tab鍵及返回鍵或者是同時使用鍵盤按鍵和指點設備進行輸入�,則偷窺者更難以確定輸入的確切內容。理想狀況是兩者相結合��,但可能實施的具體程度取決于管理員和客戶所能接受的復雜程度�����。
[0052]或者���,也可利用現(xiàn)有設備上的輸入鍵�����,例如可對ATM機上的數(shù)據(jù)輸入按鈕進行配置��,使用戶能夠選擇屏幕上所顯示的圖形字符����。
[0053]另一種方法是通過選擇傳統(tǒng)鍵盤上的按鍵來輸入一個安全ID值(如用戶名),使用目前所介紹的圖形系統(tǒng)來輸入二級或三級安全ID值(如密碼)��。
[0054]圖12顯示了另一種替代方法��,使用傳統(tǒng)鍵盤上的按鍵來表示GOCS300所顯示的字符順序����。例如���,如果安全ID包括四個字符“0&H3”而且GOCS 300以9H3.&+@Kg*的順序顯示了10個字符(如702所示)��,則這些字符的順序可由傳統(tǒng)按鍵上的“ABCDEFGHIJ”鍵來表示(如704所示)���。在輸入安全ID值時,用戶可通過選擇與屏幕上所顯示的所需字符順序相對應的鍵盤按鍵來選擇所需的字符,即在此例中為“GEBC”706����。這樣,實際按鍵所代表的并不是安全ID�,而且為防范鍵盤記錄器和劃取器,每次嘗試登錄時的字符集順序可有所不同���。
[0055]在可能遭到偷窺的情況下�����,為加強安全性��,可對安全ID值進行遮蔽106�,以進一步降低肉眼觀察或監(jiān)視而竊取密碼的可能性����,并且(或者)如果系統(tǒng)資源允許,可進行選擇性加密�。
[0056]為進一步提高安全系數(shù),可使用含有一個靜態(tài)IP或FQON的用戶MAC地址����、IP或FQON將安全ID值綁定到登錄服務器身份辨認設備上��,將根據(jù)賬戶類型進行管理��。對于家用����,可以是MAC地址����,而且用戶可能需要向其使用的服務器重新提交訪問詳細信息的請求。對于企業(yè)用��,可基于個人靜態(tài)IP地址或整個子網等�����,或者FQON來進行控制����。
[0057]一旦用戶10已輸入指定的一級值108���,用戶所輸入的值將與存儲在“用戶固定賬戶名稱記錄”(簡稱UFANR)管理員數(shù)據(jù)庫中的一級值進行比對110���。圖8顯示了一個示例UFANR數(shù)據(jù)庫表格。
[0058]UFANR數(shù)據(jù)庫400包括用戶的安全ID值402和每個安全ID值402的預設字符集404、如果適用�����,安全ID值402將被重置的日期406��、固定用戶名408和參考數(shù)410�����、賬戶登錄地址412和一個表示該賬戶是否被鎖定的字段414���。
[0059]如果UFANR數(shù)據(jù)庫中未找到用戶輸入的一級值112��,則會檢查用戶是否輸入了未包括在內的字符114����。未包括在內的字符是指被允許的字符集以外的所有字符組合���,可以是單個字符���,也可以是多個字符。如果想要擁有更高安全級別的應用��,可引入一組未包括在內的字符集,以確定潛在的黑客攻擊而立即鎖定�,如圖10和圖11所示。未包括在內的字符集可包括同一預設字符集內的一個字符子集�,用于特定用戶(如圖11所示)?����;蛘?,未包括在內的字符集可以是一個單獨定義的字符集或表格(如圖10所示)。但是所需字符和未包括在內的字符之間最好不要有重疊��,以避免意外發(fā)生���。如果在用戶輸入中發(fā)現(xiàn)未包括在內的字符116���,則會生成一個記錄項,以記錄一次使用未包括在內的字符而嘗試進行的無效賬戶訪問118��,并會向用戶顯示無效賬戶及未經授權的登錄的警告通知120����。然后�,可能會用戶要求重新輸入一級值�����,或者聯(lián)系管理員�。同時��,也會阻止用戶用于訪問登錄網站的IP地址再次嘗試登錄��。
[0060]未包括在內的字符一般不會被用于一級字符集�,因為這可能導致惡意黑客隨機猜測有效的一級值而造成對賬戶使用的蓄意破壞(但是如上文所述,在某些高端應用中�����,可能需要這樣做)����。但是,無效輸入將會生成鎖定通知�,因為無效輸入表明,正在使用的是密碼猜測器而不是屏幕鍵盤��。此外����,系統(tǒng)可選擇性允許在二級進行多次超時重置(次數(shù)由管理員確定)�,如果隨機黑客攻擊攻破了一級值�����,而后因嘗試猜測下一級別的安全值而造成賬戶被鎖定�����,則上述方法可降低給用戶帶來不便的可能性��。系統(tǒng)允許將重置的最高次數(shù)設置在正常賬戶被鎖定的次數(shù)以下����,因為如果達到這個值,則表明賬戶正受到攻擊����。此外,較低的級別也當然可采用該策略�,但這會顯著降低系統(tǒng)的安全級別,不推薦這種做法�����。
[0061]如果在用戶輸入中未發(fā)現(xiàn)未包括在內的字符122,則會在“用戶登錄錯誤容許度”(簡稱ULETL)計數(shù)數(shù)據(jù)庫中檢查重試次數(shù)124��。圖9顯示了一個示例ULETL數(shù)據(jù)庫表格���。
[0062]對于每個安全ID級別,ULETL數(shù)據(jù)庫500可選擇性包括一個最大502和最小504字符長度��、在賬戶被鎖定之前每個安全ID級別所允許的重試次數(shù)506����、是否可在安全ID值中復制兩次和(或)三次字符508、安全ID值必須被重置的周期510����、是否有必要重新排序GDCS以隨機打亂其顯示位置和順序512、賬戶鎖定重置514�����、以及代碼重置時的字符重置516���。
[0063]賬戶鎖定重置514可用于避免未經授權的一方嘗試訪問網站而給用戶帶來的不便����,如黑客定位到網站并嘗試猜測有效的用戶密碼�。設置重置的目的在于使管理員在過了預定時間后能夠進行再次或多次嘗試���。
[0064]在重置密碼時,可選擇性強迫重置字符516��,使釣魚者更難以積累必要的信息組合來騙取用戶憑據(jù)而最終訪問賬戶���。
[0065]如果用戶輸入的次數(shù)超過了ULETL中所列的重試次數(shù)126���,則會生成一個日志項,以記錄一次使用不正確的有效字符而嘗試進行的無效賬戶訪問118����,并會向用戶顯示無效一級值及未經授權的登錄的警告通知120。賬戶鎖定策略的設置取決于用戶登錄錯誤容許度策略����。因為對于用戶10而言,字符集是獨一無二的而且只為用戶和機構所知����,所以可根據(jù)需要適當寬限容許度。例如�����,如果85%的安全ID正確,則容許的重試次數(shù)可設置為10次;如果正確的比例不到85%���,則在賬戶被鎖定前可進行三次重試;如果使用了未包括在內的字符�����,則立即鎖定賬戶。
[0066]應當指出的是�����,在一級��,黑客行為并不會導致賬戶鎖定�����,除非存在字段匹配�����,即黑客猜對一級的有效值后在下一級輸入了無效條目�����。因此,舉例來說��,如果界面可被公共訪問(如互聯(lián)網)�,則可選擇性允許進行一次基于額外一段時間的鎖定重置。這是為了避免隨機的黑客行為給用戶帶來的不便���。該系統(tǒng)優(yōu)于現(xiàn)有系統(tǒng)的優(yōu)勢之一是允許賬戶鎖定���,同時將與此類鎖定相關的管理工作降到最低。
[0067]如果在UFANR中未發(fā)現(xiàn)用戶輸入的一級值112并且用戶未輸入未包括在內的字符122��,而且輸入次數(shù)并未超過ULETL計數(shù)126��,那么會顯示給用戶一個重試通知128且ULETL用戶輸入次數(shù)加一 130�。然后,用戶可重新輸入一級值��,并重復上述驗證過程����。
[0068]如果在UFANR中發(fā)現(xiàn)用戶輸入的一級值132,則會在UFANR中檢查賬戶鎖定標記134����。如果管理員對登錄安全有所顧慮�、或客戶請求賬戶被禁用����、或出于其他任何原因,那么可設置賬戶鎖定標記�����。如果賬戶鎖定標記被設置為鎖定賬戶�����,則會向用戶顯示一個鎖定通知 138��。
[0069]如果在UFANR中發(fā)現(xiàn)用戶輸入的一級值132并且并未設置賬戶鎖定標記138���,則系統(tǒng)會確定在管理設置UFANR數(shù)據(jù)庫中是否存在二級安全ID值140。二級值是更高一層的安全級別���,并且可被命名為密碼���。如果不存在二級值142�����,則在檢查過重置標記144(將在下文做進一步說明)后���,用戶被授權訪問系統(tǒng)146,此時登錄進程終止��。
[0070]如果在數(shù)據(jù)庫中設置了二級值144�,則會在用戶設備14的可視化顯示屏上向用戶顯示一個自定義的二級界面。二級界面顯示了一個專為用戶創(chuàng)建的二級圖形顯示字符集148����。圖5顯示了一個示例界面和GDCS,根據(jù)所使用的技術平臺的能力和復雜性����,可使用任何類型的字符或圖標及其組合。雖然為安全起見����,最好使用不同的字符集,但二級GDCS可與一級⑶CS相同����。
[0071]如圖9所示���,如果管理設置數(shù)據(jù)庫中已設置了“重新排序”標記,則可以不同順序來顯示二級GDCS�����?��?稍诿看蔚卿泧L試后改變順序��,為增強安全性�����,也可在用戶每輸入一個字符后改變順序�。
[0072]一旦向用戶顯示二級GDCS��,用戶就會以上文所述與輸入一級值相同的方式選擇所需的字符輸入用戶指定的二級值158���。二級值可事先由管理員設置或由用戶在創(chuàng)建賬戶時設置,或者定期或隨時重置�����。最好能夠遮蔽輸入區(qū)域160,以免用戶輸入被窺見�����。
[0073]然后��,用戶輸入的二級值會與存儲在UFANR中的二級值進行比對162��。然后��,會對未包括在內的字符�、重試次數(shù)和賬戶鎖定進行與一級值相同的檢查過程。如果滿足條件但二級值不正確�����,則用戶可能會被提示重新輸入二級值�����?;蛘撸瑸樘岣甙踩?,用戶可能會重新回到一級值界面,重新輸入一級值����。
[0074]如果滿足上述與二級值相關的條件�����,則會檢查UFANR數(shù)據(jù)庫中是否存在三級安全ID值188ο在本實施例中����,三級值為PIN���,但也可使用其他類型的安全ID來替代�。如果不存在三級值190���,則在檢查安全ID重置標記(下文會做進一步說明)后�����,用戶被授權訪問系統(tǒng)146��,登錄進程結束。
[0075]如果在數(shù)據(jù)庫中設置了三級值192�����,則會顯示給用戶一個帶有三級值⑶CS的自定義三級值界面194,圖6顯示了一個示例界面和GDCS��。但根據(jù)所使用的技術平臺的能力和復雜性����,可使用任何類型的字符或圖標及其組合。
[0076]如果管理設置數(shù)據(jù)庫中已設置了重新排序標記200����,則三級⑶CS可重新排序顯示。用戶通過選擇上述顯示的字符來輸入指定的三級值����。三級值可在創(chuàng)建賬戶時事先設置,或者定期或隨時重置����。可對用戶輸入區(qū)域進行遮蔽204��,以免用戶輸入被窺見��。
[0077]然后���,用戶輸入的三級值會以與上述一級值和二級值所應用的相同方式與存儲在UFANR中的三級值進行比對206���。
[0078]經必要檢查后�����,如果在UFANR中發(fā)現(xiàn)三級值206�����,則檢查UFANR中是否存在一級重置標記144���。
[0079]可選擇性將安全ID值設置為變量(即檢查重置標記),并將其與只有網站管理員已知而用戶未知的安全的用戶固定賬戶名數(shù)據(jù)庫相連����。這使用戶可根據(jù)安全策略隨時修改安全ID,因為安全策略可能會允許或強制用戶定期修改安全ID值����。這降低了用戶數(shù)據(jù)庫管理成本,同時也將保留問題用戶的完整日志���,可根據(jù)網絡策略進行設置����,為這些用戶保持更高級別的限制或鎖定����。
[0080]因此,如果設置了一級重置標記208���,則會向用戶顯示由管理員為用戶的一級值設置好的自定義圖形字符集�����,圖7顯示了一個示例界面�����。用戶輸入一個新的一級值210并在第二欄再次確認該值���。這兩欄都是被遮蔽的,以防用戶輸入被偷窺212�。如果第一欄和第二欄不匹配214,則用戶會被提示重新輸入216��。如果兩欄匹配218����,確認想要修改的新一級值���,則會更新UFANR中的一級值220,并且UFANR中的一級重置周期被重置222�����。
[0081]然后�����,會檢查UFANR中是否存在二級重置標記224���。如果未檢查到二級重置標記��,則會以相同的過程檢查三級重置標記�����。一旦完成重置過程����,或者未設置標記�,則用戶被授權訪問賬戶��。
[0082]新的安全ID最好與任何以前使用過的安全ID不同�。新安全ID可由管理員或用戶設置��,或者在某些情況下隨機生成���。
[0083]在某些形式中,在現(xiàn)有登錄屏幕中可能包含多個屏幕�。這可實現(xiàn)在同一屏幕上同時顯示所有級別的輸入欄。在這種情況下�����,系統(tǒng)可能需要將所有輸入欄全部輸入后再進行提交和系統(tǒng)比對����。
[0084]圖3總結概述了上述方法的實施設置過程。用戶使用的字符集由管理員確定600����。一級值(用戶名)由管理員從預設的字符集600中選取并設置602。二級值(密碼)由用戶從預設的字符集600中選取并設置��,并由管理員設置定期重置時間表604�。三級值(PIN)也由用戶從預設字符集600中選取并設置606����。
[0085]管理員可通過在UFANR中添加額外的安全ID級別來添加額外的安全級別�����。在此例中���,本文描述的系統(tǒng)被設置為三個級別一一一個用戶名����、一個密碼和一個PIN�����,但在其他實施例中可使用三個以上級別����。在本實施例中,密碼和PIN都由用戶設置和更改����,但是如果用戶被允許更改PIN,則建議再添加一個級別的PIN或密碼����,該PIN或密碼只能由管理員級別的人進行更改����,以防身份被盜用����。
[0086]登錄錯誤或重試級別由管理員根據(jù)安全限制和策略進行設置608。管理員將安全ID與對管理員保密的用戶固定賬戶名記錄綁定610���。值和重新排列的時間安排612及安全ID重置614選項由管理員確定。所有值都存儲在管理員設置數(shù)據(jù)庫中�����。
[0087]當賬戶被鎖定且確定用戶為賬戶的合法用戶時��,管理員會向用戶分配新的安全ID值���。除最低級別的代碼外�����,所有額外添加的級別的新安全ID值最好由新字符集組成��。此例中的用戶PIN或者至少使用最低級別的輸入安全ID不應由用戶自己來重置��,以防身份被盜用��。理想情況是�,最低級別的安全值一旦分配,就不得更改����。如果需要更改該安全ID,則此時需要創(chuàng)建新的用戶賬戶并通過已建立的賬戶來檢查這個正嘗試操作該賬戶的人的真實身份�。如果一定要允許更改某個級別的安全ID,則應該再激活一個安全ID級別�����,以防身份被盜用���?����!白兞俊币辉~用于表示可以更改的欄�����,但不是應被允許更改的欄;這是由管理員級別的人來確定的����。
[0088]如果將在現(xiàn)有安全數(shù)據(jù)庫中進行添加而不是作為一種改進的安全結構的一部分來實施,那么可在現(xiàn)有系統(tǒng)的安全用戶數(shù)據(jù)庫中使用一種可選的密碼填充位腳本來驗證用戶��。所需的系統(tǒng)密碼和用戶名將被存儲在固定的用戶數(shù)據(jù)庫中���,然后經過檢索并提供給大多數(shù)路由器��、網絡系統(tǒng)和計算機操作系統(tǒng)所需的傳統(tǒng)用戶名和密碼界面�。這將使該系統(tǒng)改造現(xiàn)有的遺留系統(tǒng)�����。
[0089]此外�,訪問界面還可接收廣告�����,開發(fā)商可以此作為一種可選收入來源來為系統(tǒng)建設和維護提供資金�����。該系統(tǒng)還可用于額外提供一個或兩個圖形字符添加到傳統(tǒng)鍵盤輸入驗證模式中,以增加一個密碼或用戶名安全級別���,而如果沒有自定義的界面軟件����,則無法生成密碼或用戶名���。它還可以作為數(shù)字證書界面的又一個安全級別并由用戶設備上的帶有數(shù)字證書的自定義界面進行控制和更新���,或者當定期重新分配證書時進行更改或更新來更改密碼??蓪⒌卿浽O置為允許使用共用或獨立界面進行本地和遠程訪問。
[0090]通過使用與客戶的固定賬戶名綁定并且只有在登錄時才顯示的�����、每個客戶所獨有的自定義圖形鍵盤字符集可防范網絡釣魚詐騙對銀行業(yè)務等高端應用的攻擊��。這樣�����,如果客戶被騙而訪問一個無效網站時,將不會出現(xiàn)讓客戶輸入密碼的必要的自定義字符集��。在釣魚者想獲取更低級別的鍵盤的情況下����,鍵盤將是定制的,而且如果進行釣魚嘗試就必須復制這個為每個用戶定制的鍵盤���,這會導致釣魚者要費很大氣力來僅僅攻取一個安全級另O�。然后�����,在隨后的每一個級別�����,他們將不得不再次欺騙用戶并將其誘騙回至另一個網站來獲取下一個級別的安全值��,使釣魚者很難從客戶那里騙取信息���。如果需要非常高的安全級另Ij,而且可選擇性地使用周期性代碼重置��,并在重置一個或更多級別的代碼時更改鍵盤,同時代碼重置的時間間隔較短����,那么釣魚者就很難實施該方法了,因為如果要成功獲取信息�����,他們將需要在鍵盤代碼更改之前讓用戶在多次網上攻擊中透露所有級別的所有代碼���。
[0091]鍵盤記錄行為也將由于未能使用已知鍵盤布局尤其是標準鍵盤來輸入安全ID而被抑制��。此外���,即使捕捉到了擊鍵,第三方也無法得知選定的字符值�,而且如果每次登錄時的字符布局都不同,則第三方也很難進行登錄或猜測�。
[0092]此外,密碼猜測器也將由于未在安全ID中包括標準的字母和數(shù)字字符而受到限制��,另外�����,使用管理員或機構所專有的字符將使密碼猜測變得異常困難。
[0093]本發(fā)明可結合SiteKey網站安全認證系統(tǒng)等現(xiàn)有安全系統(tǒng)來加強用戶的使用安全�����。同樣����,本發(fā)明可與其他安全措施結合使用,如向用戶手機發(fā)送消息或驗證碼來驗證用戶身份的系統(tǒng)�。
[0094]在本說明書和權利要求中,“包含”一詞及其衍生詞包括所有所述整數(shù)����,但不排除包括一個或更多其他整數(shù)。
[0095]在整篇說明書中����,參考“一個實施例”意為說明書所述的與本實施例有關的特定功能、結構或特征被包含在本發(fā)明的至少一個實施例中�����。因此�,整篇說明書中不同位置出現(xiàn)的“在一個實施例中”這一詞組不一定指的是同一個實施例���。此外���,此類特定功能�、結構或特征可以任何適當?shù)姆绞竭M行一種或多種組合���。
[0096]上述討論僅作為對本發(fā)明原則所作的說明����。此外���,由于熟習該領域的人可隨時進行各種修改和更改����,所以不要求將本發(fā)明限制為所示和所述的確切構造和操作方法����,因此,在本發(fā)明范圍內��,可對本發(fā)明進行一切適當?shù)男薷暮吞鎿Q����。
【主權項】
1.一種通過帶有可視化顯示屏的電子設備來訪問用戶賬戶的方法�,該方法包括以下步驟: 向用戶發(fā)出至少一個安全標識符�,該安全標識符包括從一個預設字符集中選取的一個或多個字符,其中所述預設字符集中的至少一個字符是非字母數(shù)字字符�; 在上述可視化顯示屏上提供一個訪問界面以供上述用戶輸入上述安全標識符,其中該訪問界面包括一個圖形顯示字符集��,其至少包括組成上述安全標識符的字符的圖形表示���;允許上述用戶通過選取圖形顯示字符集上的字符來輸入上述安全標識符�; 并將上述輸入的安全標識符與存儲在數(shù)據(jù)庫中的預設安全標識符進行比對����,如果比對成功,則允許訪問上述用戶賬戶��; 其中���,所述預設字符集獨立于所述電子設備并且是用戶子集所獨有的����; 其中預設字符集是用戶的賬戶管理員所專有的����。2.根據(jù)權利要求1的方法����,其中預設字符集是用戶子集所獨有的�����。3.根據(jù)權利要求1的方法�,其中用戶需要逐個輸入一個以上的安全標識符以提升安全性���。4.根據(jù)權利要求3的方法�����,其中每個安全標識符的預設字符集都是不同的���。5.根據(jù)權利要求3或4任意一項的方法,其中每個安全標識符是在獨立界面輸入的����。6.根據(jù)權利要求1的方法,其中用戶通過指針驅動設備或觸摸屏選擇圖形顯示字符集上的字符來輸入安全標識符����。7.根據(jù)權利要求1的方法��,其中針對每次嘗試性訪問���,圖形顯示字符集都以不同的次序或方向進行顯示。8.根據(jù)權利要求1的方法�,如果從圖形顯示字符集中選擇了未包括在內的字符,則該方法還進一步包括拒絕訪問用戶賬戶的步驟��。9.根據(jù)權利要求1的方法��,如果輸入不正確安全標識符的次數(shù)達到了預設次數(shù)�����,則該方法還進一步包括拒絕訪問用戶賬戶的步驟�����。10.根據(jù)權利要求1的方法�,其中用戶通過至少選擇圖形顯示字符集上的一個字符來輸入一部分安全標識符并選擇傳統(tǒng)鍵盤上的按鍵來輸入剩余部分的安全標識符。11.根據(jù)權利要求1的方法�,其中對于每個用戶,預設字符集和安全標識符都可更改�����。12.根據(jù)權利要求1的方法,其中訪問界面還進一步包括廣告顯示�����。13.根據(jù)權利要求1的方法�����,其中預設字符集中的字符包括從以下組別中選擇的一個或多個字符類型:字母數(shù)字��、標點符號����、圖像或圖片��、以及顏色���。14.一種通過帶有可視化顯示屏的電子設備來訪問用戶賬戶的系統(tǒng)�,其包括: 用于向用戶至少發(fā)出一個安全標識符的通信裝置���,該安全標識符包括從一個預設字符集中選取的一個或多個字符�,其中所述預設字符集中的至少一個字符是非字母數(shù)字字符�;一個用于存儲上述至少一個安全標識符和上述預設字符集的數(shù)據(jù)庫���; 一個在上述可視化顯示屏上提供一個訪問界面以供用戶輸入上述安全標識符的處理器,其中該訪問界面包括一個圖形顯示字符集���,其至少包括構成安全標識符的字符的圖形表示;此外���,該處理器也用于將上述用戶輸入的圖形顯示字符集上的上述安全標識符與存儲在上述數(shù)據(jù)庫中的安全標識符進行比對,并將所輸入的上述安全標識符與存儲在上述數(shù)據(jù)庫中的預設安全標識符進行比對���,如果比對成功���,則允許訪問上述用戶賬戶; 其中�,所述預設字符集獨立于所述電子設備并且是用戶子集所獨有的; 其中預設字符集是用戶的賬戶管理員所專有的���。15.—種通過帶有可視化顯示屏的電子設備來訪問用戶賬戶的系統(tǒng)�����,其包括: 用于接收至少一個安全標識符的通信裝置��,該安全標識符包括從一個預設字符集中選取的一個或多個字符�����,其中所述預設字符集中的至少一個字符是非字母數(shù)字字符�����; 一個帶有一個可視化顯示屏的電子設備��,用于請求訪問用戶賬戶并接收一個訪問界面以輸入上述安全標識符�,其中該訪問界面包括一個圖形顯示字符集�,該字符集至少包括組成安全標識符的字符的圖形表示,此外����,如果所輸入的安全標識符與存儲在數(shù)據(jù)庫中的預設安全標識符比對成功,則還可用于訪問上述用戶賬戶��; 其中��,所述預設字符集獨立于所述電子設備并且是用戶子集所獨有的����; 其中預設字符集是用戶的賬戶管理員所專有的。16.一種訪問用戶賬戶的系統(tǒng),包括: 通信裝置��,用于接收請求訪問上述用戶賬戶的請求并響應該請求發(fā)送一個訪問界面��,其中該訪問界面包括一個圖形顯示字符集�,該字符集至少包括構成一個安全標識符的字符的圖形表示,該安全標識符含有從一個預設字符集中選取的一個或多個字符���,其中所述預設字符集中的至少一個字符是非字母數(shù)字字符�;以及 一個處理器�����,用于接收并將上述安全標識符與存儲在數(shù)據(jù)庫中的預設安全標識符進行比對�����,如果比對成功����,則允許訪問上述用戶賬戶; 其中�����,所述預設字符集獨立于所述電子設備并且是用戶子集所獨有的; 其中預設字符集是用戶的賬戶管理員所專有的�����。17.根據(jù)權利要求14至16任意一項的系統(tǒng)�,其中預設字符集是用戶子集所獨有的。18.根據(jù)權利要求14至16任意一項的系統(tǒng)��,其中安全標識符通過經由指針驅動設備或觸摸屏選擇圖形顯示字符集上的字符來輸入��。19.根據(jù)權利要求14至16任意一項的系統(tǒng)����,其中針對每次嘗試性訪問,圖形顯示字符集都以不同的次序或方向進行顯示�����。20.根據(jù)權利要求14至16任意一項的系統(tǒng)����,如果在圖形顯示字符集中選擇了未包括在內的字符���,則經過設置�����,處理器還可拒絕訪問用戶賬戶�����。21.根據(jù)權利要求14至16任意一項的系統(tǒng)����,如果輸入不正確安全標識符的次數(shù)達到了預設次數(shù),則經過設置�,處理器還可拒絕訪問用戶賬戶。22.根據(jù)權利要求14至16任意一項的系統(tǒng)�,其中一部分安全標識符通過至少選擇圖形顯示字符集上的一個字符來輸入,而剩余部分的安全標識符通過選擇傳統(tǒng)鍵盤上的按鍵來輸入����。23.據(jù)權利要求14至16任意一項的系統(tǒng),其中對于每個用戶�����,預設字符集和安全標識符都可更改����。24.據(jù)權利要求14至16任意一項的系統(tǒng)��,其中訪問界面還進一步包括廣告顯示��。25.據(jù)權利要求14至16任意一項的系統(tǒng)����,其中預設字符集中的字符包括從以下組別中選擇的一個或多個字符類型:字母數(shù)字���、標點符號�、圖像或圖片���、以及顏色����。26.—種用于通過帶有可視化顯示屏的電子設備來訪問用戶賬戶的設備��,該設備包括: 用于向用戶發(fā)出至少一個安全標識符的裝置���,該安全標識符包括從一個預設字符集中選取的一個或多個字符,其中所述預設字符集中的至少一個字符是非字母數(shù)字字符�����; 用于在上述可視化顯示屏上提供一個訪問界面以供上述用戶輸入上述安全標識符的裝置,其中該訪問界面包括一個圖形顯示字符集����,其至少包括組成上述安全標識符的字符的圖形表示; 用于允許上述用戶通過選取圖形顯示字符集中的字符來輸入上述安全標識符的裝置��;以及 用于將上述輸入的安全標識符與存儲在數(shù)據(jù)庫中的預設安全標識符進行比對的裝置�,并且如果比對成功,則允許訪問上述用戶賬戶�����; 其中��,所述預設字符集獨立于所述電子設備并且是用戶子集所獨有的�; 其中預設字符集是用戶的賬戶管理員所專有的。
【文檔編號】G06F21/36GK105844139SQ201610088415
【公開日】2016年8月10日
【申請日】2010年10月14日
【發(fā)明人】L.萊希
【申請人】阿莫洛格有限公司