针对口令认证系统中用户频繁重复使用同一弱口令的问题,提出一种基于服务器与便携移动设备间秘密共享的单一口令认证方法,允许远程用户使用单一口令和多个在线服务进行安全认证,且客户端PC无需存储用户的任何秘密信息;即使移动设备丢失或被盗,也不会损害用户信息。安全性分析与性能测试结果表明,新方法大大提高了用户私密信息的安全性,可以抵御字典攻击、蜜罐攻击、跨站点编程攻击及网络钓鱼攻击,减轻用户记忆负担,缓解存储压力,易于部署。

• 单位
  西安电子科技大学; 西安财经大学