[发明专利]提高用户账户访问安全性的系统和方法

说明书

发明领域

本发明涉及一种用户访问账户的系统和方法，尤其是提高用户在输入具体登录信息时的安全性，如登录互联网网站、网络、软件和网络应用程序等。

发明背景

众所周知，用户通过在小型键盘或键盘上输入详细的身份识别信息来登录网络、互联网网站、软件和网络应用程序、手机等。例如，金融机构提供的网上银行服务需要用户在键盘上输入用户名和密码来访问其账户信息、转账、支付账单等。即使是自动取款机(简称ATM)也需要对用户身份和以个人识别号码(简称PIN)为形式的密码进行识别。

在通过网络，尤其是互联网等公共网络使用键盘输入用户名和密码时，用户会面临某些风险。第三方已发明出各种手段来盗取用户名和密码，比如通过键盘记录、信息划取设备、密码猜测和网络钓鱼。

键盘记录是一种记录键盘击键的行为，通常是以一种隐蔽的方式进行，因此使用键盘的人对自身行动正在受到监控一事浑然不觉。这一般是在用户毫不知情的情况下，通过在用户的计算机上安装软件程序来实现的。

信息划取设备会与自动取款机等计算机硬件相连，并在用户使用键盘时收集用户输入的信息。例如，仍然是在客户毫不知情的情况下，连接到一台自动取款机的信息划取设备可收集银行客户的账户信息、用户名、密码和PIN。

密码猜测程序能够通过飞快地浏览一部字典中所有词等方式实现自动猜测用户密码。

网络钓鱼是一种试图获取用户名、密码和信用卡信息等敏感信息的过程，比如通过伪装成一个受信任的电子通信实体的方式。通常情况下，用户会收到一封看起来似乎是来自于一家受信任机构的合法电子邮件，该邮件会要求用户点击一个链接并输入用户名和密码。然而，该链接会将用户带到一个由第三方操作的虚假网站而不是该机构的官方网站，从而导致用户的用户名和密码被第三方盗取。

由于存在固有的安全风险，许多客户拒绝进行网上银行或电话银行交易。这不仅给客户带来不便，而且也使金融机构在客户需要通过网上银行进行交易时无法独立执行其整个网上银行业务。

解决上述安全问题的现有尝试主要集中在防止此类设备和软件的安装上，但在此类设备和软件成功安装后，就无计可施了，而且也无法有效防范以上所有安全威胁。

可通过账户锁定机制来抵御密码猜测程序，但由于计算机能力和用户数据库管理限制，通常这些机制无法在网络上使用。当使用时，这些机制通常会把其安全性能设置成最低级别，以便不给用户带来不便。

数字证书被用于防止用户名和密码的盗用，但在高端应用中，如果设备安全被破坏或数字证书被盗，则这种方法无法制止对信息的访问。此外，数字证书还需要终端用户具有相当高水平的操作技巧，对大多数用户来说，通常达到这一程度都需要技术员的指导。由于这样的话机构需要有大量的服务台，这使得在互联网或广域网(简称WAN)应用程序中使用数字证书的成本过高，而且终端用户获得现场技术指导的费用也较高。由于操作系统必须与数字证书相兼容，而操作系统的不断演化和发展将数字证书的管理进一步复杂化。当能够使用移动通信网络来访问互联网且各自带有不同专有操作系统的设备得到大范围普及时，这个问题将更加突显。

“SiteKey”是一种专门用于防止网络钓鱼攻击的现有系统。它是一种基于网络的安全认证系统，通过提出一系列身份验证问题来增加安全性。用户在登录网站时通过输入其用户名(但无需输入密码)来验证身份。如果用户名有效，则系统会向用户一同显示出已预先设置的图像和提示语。如果经用户识别，该图像和提示语不是自身所设置，则用户即推断该网站是钓鱼网站并放弃登录。如果用户识别出该图像和提示语，则用户可将该网站视为正式网站并继续进行登录。

然而，SiteKey系统被发现存在漏洞。最重要的是，它无法抵御某些最常见的钓鱼场景，因为它会要求用户回答问题，但这样个人信息就会被透露，从而危及用户隐私，这就为中间人攻击提供了便利，并导致用户名被大量盗取。此外，人们也发现，即使在SiteKey图像和提示语没有出现的情况下，用户也很容易提供其登录信息。因此，它的设计并不是很成功，而且因为个人信息的泄露，在某些情况下增加了身份盗取事件的发生，网络钓鱼者仍然可以相对轻松地从攻击目标处非法窃取信息。

因此，有必要提高用户在输入登录信息以访问用户账户时的安全性，以至少使上文所述的某些安全威胁得到抑制。

发明概要

概括而言，本发明采用图形显示访问界面来显示一组预设的字符集，用户可从中选择至少构成一个唯一的安全标识符的一个或多个字符。