论附加码在网络安全中的作用

　本文只想引起那些网站的设计者们的注意，同时也给一些对安全感兴趣的初学者一些启示作用

　　在计算机安全领域中，相信大家对穷举密码破解和字典密码破解这两个名词一定耳闻详熟了，对于一些黑客或准黑客来说，这是最常用的有效获得别人密码的方法。

　　在网络飞速发展的今天，网速已不在成为网络访问的瓶颈，在为人们上网提供更快的访问速度的同时也给黑客们提供了更广阔的发展空间，在线破解越来越大地威胁着网络安全。本文就谈谈在网络上，使用附加码的方法阻挡来自HTML页面提交的穷举的方法中的矛与盾。

　　如果你对网络有一些了解，在你上网的时候你应当被一些页面要求填写附加码的表单才能正常进入你的帐号。更进一步，如果你对安全有一些了解，你一定知道有专门的破解工具可以在线破解别人BBS帐号或在线邮件账号密码的工具，如大名鼎鼎的小榕之朔雪。那么附加码与朔雪类工具软件有什么联系呢？可以简单地说，附加码可以有效防止朔雪对你的攻击。

　　为什么附加码又有如此威力呢？我们先简单分析穷举的原理。穷举法攻击最重要的一个条件是：密码在攻击期间内不能变化。它总能在所有字母组合中通过不断地“试”直到成功的方法找到真正的密码。所以穷举法也可以叫排除法，和警察排除犯罪谦疑人差不多。那么，能不能在身份验证的时候加入动态的验证内容，使每一次身份验证时都输入不同的验证码来防止类似攻击呢？能！那就是附加码！附加码在WEB服务器上随机产生并记下来，再生成文字传给用户，用户照着手动输入提交，服务器对提交的附加码与记下来的附加码对比一下正不正确就完成了验证。因为每一次产生有附加码是随机的，所以朔雪就无能为力了。

　　但这也不是说有了附加码就高枕无忧了。那还得看你对附加码的认识和重视程度如何。

　　想一想，既然WEB服务器都把附加码传给了浏览器，哪为什么朔雪就不能把它读出来自动填上呢？理论上完全可以，只是朔雪没有那样做罢了。

　　哪不是附加码就没用了吗？也不是，下面我们再来看看什么样的附加码是最安全的。

　　一、 如果返回的附加码以文本形式返回。这是不管用的一种附加码。攻击者简单提取文本附加码自动填上就可以了。这种附加码对安全一点帮助都没有，反而加大了用户的输入负担。[顺便提一句：我看到有些网站的附加码输入框是密码类型的输入框，输入显示*号，想一想，附加码都显示出来了，还用密码类型的输入框有何用？这是对用户的一种愚弄！]

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888
   联系：亿恩小凡
   QQ：89317007
   电话:0371-63322206

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]