[发明专利]一种保护账号安全的方法及系统

说明书

本发明公开一种保护账号安全的方法及系统，其中方法包括以下步骤：接收包括登录账号和登录密文的登录信息，登录密文为基于密钥加密后的登录密码；将所述登录密文发送至外部的认证服务器，并接收由所述认证服务器所返回的标识信息，所述标识信息用于标识所述登录密码；基于所述登录信息和所述标识信息生成相应的登录分析数据；基于所述登录分析数据进行泄露分析，获得风险标识和/或风险密文；基于所述风险标识及风险密文获取相对应用户账号作为风险账号。本发明通过对登录密文和标识信息的设计，使登录密码不会以明文的方式进行传输，从而降低泄露风险，还能监测存在密码泄露及密文泄露风险的用户账号，以保护账号安全。

技术领域

本发明涉及信息技术领域，尤其涉及一种保护账号安全的方法及系统。

背景技术

众所周知，密码是一种相对较弱的认证机制。现今大部分平台会将密码进行明文存储。

攻击者可通过SQL注入或者通过命令执行漏洞获取服务器权限将数据库拖库，以获得明文密码，攻击者还可利用所得明文密码对其他平台进行撞库，从而导致用户的密码泄露后，该用户在多个平台上的账户均存在泄露风险，且被其他平台泄露的密码进行撞库的攻击往往难以感知，存在较大的安全隐患。

电子合同平台上存在用户的个人合同和企业合同，还包含了个人及企业的敏感数据，甚至是商业机密，所以电子合同平台的账号体系安全是极为重要的，一旦攻击者获取到用户的账号信息或者使用撞库来获取用户的登录方式，将会对用户、企业和电子合同服务提供商造成极大的损失。

发明内容

本发明针对现有技术中的缺点，提供了一种保护账号安全的方法及系统，能够避免明文密码泄露，还能基于登录信息监测是否存在密码泄露的风险。

为了解决上述技术问题，本发明通过下述技术方案得以解决：

本发明提出一种保护账号安全的方法，包括以下步骤：

接收登录信息，所述登录信息包括登录账号和登录密文，所述登录密文为基于密钥加密后的登录密码；本发明通过登录密文的设计能够有效避免攻击者截取获得明文的登录密码，且同一登录密码通过不同的密钥加密后，所生成的登录密文各不相同，故在攻击者拖库后，也无法通过登录密文判断哪些用户使用的密码是一致的，也无法进行密码的爆破，极大地提升密码被破解的难度；

将所述登录密文发送至外部的认证服务器，并接收由所述认证服务器所返回的标识信息，所述标识信息用于标识所述登录密码，即同一登录密码对应的标识信息相同，以便于后续对明文密码的泄露情况进行分析。

注，本说明书中“外部的”仅用于区别对应设备与实施本发明所公开的方法的主体，并非限定对应设备的位置，如上述外部的认证服务器可位于外网中，也可位于内网中。

基于所述登录信息和所述标识信息生成相应的登录分析数据；

基于所述登录分析数据进行泄露分析，将存在泄露风险的标识信息作为风险标识，存在泄露风险的登录密文作为风险密文；

本领域技术人员可根据实际需要自行设定泄露分析规则，以识别风险标识和风险密文。

基于所述风险标识及风险密文获取相对应用户账号作为风险账号。

作为一种可实施方式，所述标识信息为登录密码签名或登录密码摘要；

现有已公开的签名方法为：

对需要加签的数据进行哈希计算，例如可现今已公开的SHA-256算法对加签的数据进行哈希计算，获得其摘要信息；

对摘要信息进行加签，获得相应的签名；

如在进行加签时添加随机数，同一数据所对应的摘要信息相同但签名各不相同，例如可采用现今已公开的ECC算法，或采用现今已公开的RSA算法且添加随机数；