动态密码的思路----讨论的是批处理

ivor

我今天突发奇想，想做一个动态的验证，即使告诉别人了，他下次还是进不去的，这个验证密码你自己肯定知道。
大家踊跃一点讨论一下，有什么好的的思路，好的技术+1

Perl

用当前的系统日期做加、减、乘、除、取余等运算

BAT1

分开两种密码，一次性密码跟无限次密码，给别人用一次性密码。（就像邮箱找回密码的功能一样，只能在某时间段以内使用，而且只许一次）。自己用无限次密码，可以设置一次性密码跟时间。

或者模仿密保卡，每次都要找那个卡片来输答案。

Perl

回复 3# BAT1


楼主就是在问：如何实现一次性密码

BAT1

回复 4# Perl


    用完就作废 ，就行了

cjiabing

如果用在BAT上，一次性是很容易实现的。
同一个密码怎么会在不同的人手里有区别呢？除非人品有问题了@！
那就设置两个密码，一个临时的，一个永久的。
批处理需要什么密码呀？几行搞定了：

1. 
   
2. @echo off
   
3. set /p v=:
   
4. if %v%==123456 echo ok
   
5. if %v%==539383 echo ok
   
6. echo bad
   
7. pause
   

复制代码

CrLf

写第三方进行虹膜识别、语音识别、声频识别、指纹识别、亲子鉴定、滴血认亲（好吧，跑偏了），反正就是不用密码识别，写个假界面气死你...

bluewing009

我的建议是……利用ftp控制
关键是编辑一下就破解了…………
或者利用%random%

wc726842270

感觉上有很多的理论方法
1:指定使用密码次数
2:指定过期时间
3:不妨用一下仿生学,使用算法(这个不在了解范伟内,比如位移什么的)
不过综合来看,还是要算法的

cjiabing

回复 9# wc726842270


    我前段时间搞了一个移位计算的办法。
    不过今天我想了想，用if判断密码是个愚蠢的办法，那不明摆着，你发短信给对方，问自己的电话号码是多少……

qzwqzw

如果楼主说的是批处理实现Windows动态密码验证的话
以前倒是做出一个测试的版本
批处理作为计算机启动脚本运行
然后在其中用net user 更改用户的密码
这个密码是预先设计好的密码序列中的一个
这些都很简单

比较复杂的是如何设计一个好的密码序列
它既能实现无法根据多个密码猜测这个序列的规则
也能实现管理者本人能够不依赖计算机仅靠心算便能获得当前密码

我当时尝试了几个序列
效果虽然是有了
但是安全性上感觉还是打了折扣
所以最终没有实用化

ivor

回复 11# qzwqzw


    能做的到心算的验证，肯定安全性不够好。你说的windows改密码也是不错的想法。

qzwqzw

最安全的算法应该是无规则的算法
最简单的随机序列就是一种无规则算法
但提升安全性的同时也降低了易用性

稍微复杂一点就是用户自定义序列
但是序列过短会很快被有心人完全嗅探
序列过长也不利于合法用户记忆

再折中的思路是通过登录界面显示密码提示
根据提示猜测对应的密码
但这种密码提示也不可能太多
否则影响系统效率的同时
也会增加用户的记忆负担

所以最终还是回到了有规则密码的道路上
目标就变成了如何设计一种可公开的算法
既能减轻合法用户的计算压力
又能避免非法用户仅靠数个密码就能猜测出整个序列

CrLf

使用一次性的随机密码，密码经过古典加密算法写在提示中，不建议用现代的加密算法是因为古典加密在批处理中实现起来更容易，古典加密中凯撒加密、栅格法等无非是变量替换和偏移...
还听一个学计算机的人说过，她的密码都是以十六进制或者相应的十进制明文写在密码提示中的，要用的时候心算一下就好了，反正外人也不知道（话说这也属于古典加密的范畴）...
也可以使用密钥，比如大名鼎鼎的维尔吉亚密码（它类似于多表的凯撒法，根据密钥决定从哪一张置换表开始，每替换一个字母换下一张表）

plp626

不明真相；

批处理搞密码可以借鉴md5的思想
批处理自身实现md5是有些繁琐，简单点可以用base64替代（缺点是这样的密码转换后的明文可逆）