使用口令卡登录

geel

看了几位的发言，感觉并没有从这个问题深入。发此贴的本意不在于“口令卡”这个方式本身，就像验证码的出现到变形的验证码甚至中文验证码，我们需要的是要找到一种安全和简单之间的平衡点，做到不增加太大复杂性和成本的同时，越来越安全。https解决了明文传送被监听，验证码抵挡了机器用户，口令卡解决了单一密码泄露。在web的非敏感操作方面，一方面是用户众多水平不一，另一方面是运算能力有限，因此我们不可能采用证书或其它复杂的认证方法，那什么不太复杂的办法在这种情境下能更安全呢？这才是我们需要考虑的。将这么古老的话题再次提起就是让大家再重新思考这个问题，仔细想为什么要这样做，是否有更好的方法，而不是一味的去看一项技术的本身。

我希望大家有发散的想法，8楼就很好

ipaddr

11楼跑题得相当严重.

这题是你发的,你又改来改去, 改之前是指技术, 改之后又不谈技术,不想公开代码,也不用这样找借口.

说实话,个人认为技术上没啥难度.

密码放U盘??笑话,密码放U盘还不如用数字证书放U盘呢.

zjq8188

没错..他是想显自己的技术。

geel

这东西有技术可言吗？学学8楼的思考方式吧，如果理解不了那可以不看这个帖子。另外我改之后只多了update后面的东西，攻击不是这么个攻击法

ipaddr

原帖由 geel 于 2008-6-15 23:06 发表
这东西有技术可言吗？学学8楼的思考方式吧，如果理解不了那可以不看这个帖子。另外我改之后只多了update后面的东西，攻击不是这么个攻击法

8楼的完全是扯蛋, PHP能读到客户端的U盘吗???原来是你在学8楼的思考方式呀??

另外,你发的帖子,第一版,压根只是提技术, 你有提过其它问题吗????

此外,还想知道, 你第一帖发的那个地址,程序是不是你写的?

geel

原帖由 ipaddr 于 2008-6-16 00:21 发表


8楼的完全是扯蛋, PHP能读到客户端的U盘吗???原来是你在学8楼的思考方式呀??

另外,你发的帖子,第一版,压根只是提技术, 你有提过其它问题吗????

此外,还想知道, 你第一帖发的那个地址,程序是不是你写的?

对你无语。如果股票赔了那你找证监会算账去

ipaddr

原帖由 geel 于 2008-6-16 17:12 发表


对你无语。如果股票赔了那你找证监会算账去

听不明白? 和股票扯上啥关系了????

很多用U盘的,是里面放数字证书, 而不是密码.

geel

原帖由 ipaddr 于 2008-6-16 21:19 发表


听不明白? 和股票扯上啥关系了????

很多用U盘的,是里面放数字证书, 而不是密码.

最近股票大跌，大多数股民心情都不好

u盘放证书太麻烦，还需要专用客户端插件，不适合通常的web应用场景

sunnyfun

嘿嘿，花多少钱，办多少事，加密也是如此。
刮刮卡是一种。
肯投入的花钱来个短信动态密码也不错，有银行就这么实现的。

ipaddr

原帖由 geel 于 2008-6-17 10:48 发表


最近股票大跌，大多数股民心情都不好

u盘放证书太麻烦，还需要专用客户端插件，不适合通常的web应用场景

好象是你说U盘放密码是一个新思路的哦？？？？

U盘放证书，对安全要求高的场合，是完全有必要的，虽然麻烦一些。