[发明专利]基于多重散列计算的密码管理方法和系统

说明书

本发明公开了一种基于多重散列计算的密码管理方法，包括：服务器端接收用户端发送的注册请求，选择加密方式，所述加密方式包括加密算法和加密次数，将用户名和密码进行字符拼接后得到原始字符串，使用散列计算方式、采用选定的加密方式对原始字符串进行加密得到注册密文数据，将加密后的注册密文数据、用户名以及对应的加密方式存储至密码数据库。本发明能够通过多重散列计算的方式，人为延长每次密码校验的时间，能够有效防止暴力破解用户密码；采用前后端结合的方法，将系统压力分散到每个用户端，降低硬件成本，系统压力小，无任何额外费用，用户体验良好，无法被恶意利用。另外，传输的内容为加密后的密文，降低不安全的网络环境导致的密码泄露风险。

技术领域

本发明涉及互联网用户账号密码安全性技术领域，具体而言涉及一种基于多重散列计算的密码管理方法和系统。

背景技术

当今互联网保存用户密码的常见方法是将密码进行1次散列计算后保存，因为散列计算为不可逆运算，即无法通过密文反向计算出明文，只能通过明文按相同的算法进行加密后，与真实数据进行比对来验证真伪。所以黑客破解用户密码最常见的手段即为“暴力破解”，此方法是一种密码分析的方法，即用穷举的方式，将密码进行逐个试验，直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码，其可能共有10000种组合，因此最多尝试9999次就能找到正确的密码。

随着计算机硬件与软件技术的不断发展，现今计算机速度已经非常快，试验一种密码组合需要的时间非常短，普遍在微秒级，这就使得暴力破解密码成为可能，黑客可以使用程序不断试验密码，在可接受的短时间内破解出用户的密码。

目前业界用于防止暴力破解的方式主要有3种：图形验证码、限制错误次数、手机短信验证，各自有不同的缺陷与不足。

第一种，图形验证码

每次用户登录时，需要输入用户名、密码以及一个需要人眼识别的图片，图片中使用随机产生的字符以及一些不规则的图形来干扰机器识别，达到需要人工参与的目的，大大降低暴力破解的速率，增大人工成本。该方式是当今互联网最常见的防暴力破解方案。

该方法的缺陷与不足主要有2点：

影响用户体验：为了防止小概率遇到的黑客暴力破解，而让正常使用产品的用户在每次登录时都要识别一个毫无意义的图形验证码。

有一定破解的可能：随着互联网技术不断的进步，目前已经有一些自动识别图形验证码的程序出现，虽然识别率还不能做到100％，但已经有攻克的可能。

第二种，限制错误次数

每次用户尝试登录时，后端系统自动将此次请求信息保存在数据库或文件系统中，同时查询系统，分析该用户在单位时间内是否超过限制的次数，如果超过，则一段时间内不允许再次尝试。例如设置24小时内密码错误超过3次，则该账号当天不允许再次尝试登录，常见于银行系统。

该方法的缺陷与不足主要有2点：

恶意利用：容易被人为恶意利用来暂时封锁账号，给实际账号所有者带来困扰。如上例中故意输错别人的密码3次，令该账号实际所有者当天无法登录，虽然可以通过申诉等途径恢复登录，但无疑给实际账号所有者带来了不必要的困扰。

系统压力大：该方法需要将用户每次登录的请求保存在数据库或文件系统中，然后每次登录时再在该系统中进行一次查询，一次登录即对系统进行了读和写各1次操作，在大量并发请求时，容易造成系统压力过大而崩溃。例如商家做限时抢购的活动时，大量用户在同一时间登录系统，造成数据库或文件系统压力陡增，无法完成所有请求，进而造成系统缓慢或崩溃。此外，黑客也可以发起大量并发请求，随时随地给系统造成巨大压力。

第三种，手机短信验证