人狼教室 铃木狂太郎:关于“附加码”的问题

这是为了防止某些恶意软件采用暴力方法破解大家的帐号。因为现在的计算机每分钟都可以计算几十万次的。所以就有关的人开发出一些软件只要设置一个帐号其便可以用一定的方法一个一个密码的去试。直到试出为止。所以这时就产生了附加码。有了这些每次要输入不同的附加码。这样的软件就不管用了！！
=================================================

什么是附加码？什么样的附加码是最安全的？

在计算机安全领域中，相信大家对穷举密码破解和字典密码破解这两个名词一定耳闻详熟了，对于一些黑客或准黑客来说，这是最常用的有效获得别人密码的方法。

在网络飞速发展的今天，网速已不在成为网络访问的瓶颈，在为人们上网提供更快的访问速度的同时也给黑客们提供了更广阔的发展空间，在线破解越来越大地威胁着网络安全。本文就谈谈在网络上，使用附加码的方法阻挡来自HTML页面提交的穷举的方法中的矛与盾。

如果你对网络有一些了解，在你上网的时候你应当被一些页面要求填写附加码的表单才能正常进入你的帐号。更进一步，如果你对安全有一些了解，你一定知道有专门的破解工具可以在线破解别人BBS帐号或在线邮件账号密码的工具，如大名鼎鼎的小榕之朔雪。那么附加码与朔雪类工具软件有什么联系呢？可以简单地说，附加码可以有效防止朔雪对你的攻击。

为什么附加码又有如此威力呢？我们先简单分析穷举的原理。穷举法攻击最重要的一个条件是：密码在攻击期间内不能变化。它总能在所有字母组合中通过不断地“试”直到成功的方法找到真正的密码。所以穷举法也可以叫排除法，和警察排除犯罪谦疑人差不多。那么，能不能在身份验证的时候加入动态的验证内容，使每一次身份验证时都输入不同的验证码来防止类似攻击呢？能！那就是附加码！附加码在WEB服务器上随机产生并记下来，再生成文字传给用户，用户照着手动输入提交，服务器对提交的附加码与记下来的附加码对比一下正不正确就完成了验证。因为每一次产生有附加码是随机的，所以朔雪就无能为力了。

但这也不是说有了附加码就高枕无忧了。那还得看你对附加码的认识和重视程度如何。

想一想，既然WEB服务器都把附加码传给了浏览器，哪为什么朔雪就不能把它读出来自动填上呢？理论上完全可以，只是朔雪没有那样做罢了。

哪不是附加码就没用了吗？也不是，下面我们再来看看什么样的附加码是最安全的。

防止那些用软件灌水得用户，这样，每次附加码都不一样，如果灌水，只能手动登陆，慢多了，呵呵！

就是为了安全啊？

为了避免黑客用一些软件采取穷举法来破解登录，所以用编程的方法随机生成4-N位数的附加码。这样只能用手工输入这个附加码。

用户登录虽然麻烦了点，但是可以避免了一些网络安全的东西。

安全和过滤

你要么输，要么就不要看要看的内容，烦什么