使用口令卡登录

geel

其实不新鲜，icbc网银的口令卡以及众多网游的密保卡就是这种东西，程序生成 N*M 的表格，进行敏感操作时给出一组坐标，输入坐标对应的值即可。

演示地址
http://jestery.3322.org/codetable/

注册之后给一个口令卡的图
登录时找坐标输入就行。

实际应用时应该在敏感操作以及非常用操作下使用，否则太麻烦。

update:
看了几位的发言，感觉并没有从这个问题深入。发此贴的本意不在于“口令卡”这个方式本身，就像验证码的出现到变形的验证码甚至中文验证码，我们需要的是要找到一种安全和简单之间的平衡点，做到不增加太大复杂性和成本的同时，越来越安全。https解决了明文传送被监听，验证码抵挡了机器用户，口令卡解决了单一密码泄露。在web的非敏感操作方面，一方面是用户众多水平不一，另一方面是运算能力有限，因此我们不可能采用证书或其它复杂的认证方法，那什么不太复杂的办法在这种情境下能更安全呢？这才是我们需要考虑的。将这么古老的话题再次提起就是让大家再重新思考这个问题，仔细想为什么要这样做，是否有更好的方法，而不是一味的去看一项技术的本身。我希望大家有发散的想法，8楼的发言就是一个比较好的开始，真正的从一个用户的角度去看问题，并且提出了自己的解决方法


[ 本帖最后由 geel 于 2008-6-14 19:23 编辑 ]

zjq8188

提供代码吧

ipaddr

没啥技术含量吧.

密码卡存数据库,并打印一份给用户,验证时对比一下就知道了.

密码卡上的不同位置的密码都是随机的.

geel

原帖由 ipaddr 于 2008-6-13 22:14 发表
没啥技术含量吧.

密码卡存数据库,并打印一份给用户,验证时对比一下就知道了.

密码卡上的不同位置的密码都是随机的.

不是什么都要看“技术”地，注意力别只放到程序本身，仔细看看会发现php之外其它东西地；）

ucweb回贴比opera差多了：（

[ 本帖最后由 geel 于 2008-6-13 23:18 编辑 ]

ipaddr

原帖由 geel 于 2008-6-13 23:16 发表

不是什么都要看“技术”地，注意力别只放到程序本身，仔细看看会发现php之外其它东西地；）

ucweb回贴比opera差多了：（

二楼的说要代码，我只是提一下思路而已。

除了技术，你认为还有啥重要？？？

这种应用，很多地方都用上了，确实朋可取之处。

ipaddr

密码卡的每个位置的密码，可以随机生成，但要记录所有的位置的密码。

也可以只记录一个密匙，将此密匙和每个位置参数进行一定运算，得到密码。（每个用户的密匙应该是随机生成的，加密算法要注意保密。）

zjq8188

要求提供代码参考下

一地风飞

密码卡放在u盘,登录时直接上传,程序去读取判断,会不会更好?

刚才试了下,要查找这几个数的密码,也不会很方便

geel

原帖由 ipaddr 于 2008-6-14 10:16 发表
密码卡的每个位置的密码，可以随机生成，但要记录所有的位置的密码。

也可以只记录一个密匙，将此密匙和每个位置参数进行一定运算，得到密码。（每个用户的密匙应该是随机生成的，加密算法要注意保密。）

这个不错，不过俺数学不好

geel

原帖由 ipaddr 于 2008-6-14 10:09 发表


二楼的说要代码，我只是提一下思路而已。

除了技术，你认为还有啥重要？？？

这种应用，很多地方都用上了，确实朋可取之处。

要学会别把注意力只放在事物表面