安全密码的设想

zfscnu

楼主的要增加密码长度，如yii说的不用输入完整的密码 来防止密码被盗

但是这样对用户不方便

我的方案则是要求 用户记住一组密码，和以前一样，只是登陆的时候，随机地方增加随机字母来防止密码被盗

或许也如yii说的 “如果别人监听了你的端口 就可以记录你的任何操作了",

那么在我的方案下，要盗取密码的话，需要多次采集并分析

但在多次采集并分析下，楼主的方案也有可能被破解，只不过难度大点：）

zfscnu

易用性和安全性是矛盾的，所以我觉得采取 随机地方增加随机字母 是一个比较平衡的方案

yii

你还是考虑简单了
我监听端口
不仅可以分析你发送的包，也可以分析你接受的包的嘛
所以一次分析出你的密码的可能性还是存在的

zfscnu

接受的包？  当然前提接受的包是图片格式，不然楼主的方案也可以没有意义啊

当然把接受的包包含的数据通过一些软件整理成可以读取的图片格式、、、、、有点复杂，有点事想清楚再来发言：）

GeeGee

那么结合你们俩人的想法，得出以下算法
                                 1 2 3 4 5 6 7 8 9
如果我的密码是  ->       q w e r t y u i o p

那么在输入密码的时候图片上显示  28f94g3jf的话，你在密码那输入wofprgejf即可
监听100年也分析不出来……他连哪几个是密码哪几个是服务器发过来的都不知道

不过我忽然想到了一个问题，就是密码在服务器端存储是要经过不可逆算法加密的
这样做服务器端数据就算被盗了，用户的密码也不会在短时间内被破解
这样的话你输入了密码，服务器把你的密码加密之后与保存的加密密码比对，
如果相同才算密码正确
然而用这个算法的话你发过去的密码不是完整的，那么服务器不可能得到正确的加密之后的密码

除非，你的服务器端数据不加密……那样的话就算服务器数据不丢失，某个行为不轨的工作人员也可以把玩家的账号拿出去卖

或者，服务器给你发送一个1-F的乱序排列字符串，你把你的密码按照他的顺序重新排列，如果不够16位相应的地方用某种符号代替，这样他在服务器端是可以逆转回去再加密比对，不过这样的话就要求你输入所有的密码字符，如果被截获还是可以通过穷举法来尝试暴力破解的。

不过如果服务器接收到多次连续失败登陆就要给用户手机发送短信报警，倒是可以避免直接被盗。

不知道说没说明白，在上班不敢写太久=.=

yii

.......
看来zfscnu还要加强一下程序的知识
TCP/IP的消息包的概念

GeeGee

图片必然是在服务器端生成了才发出来的，在客户端解包再生成还管毛用啊………数据都被人拿走了……

MathSlope

这种密码有什么用？
geegee兄的高论也比较恐怖.如果服务器端密码用了不可逆加密，不知怎么知道某人的密码有几位，因为已经读不出来了，就算开始保存了位数，那取出的部分密码通过加密算法得到的会是原来加密的一部分组合？从没见过这种不可逆的安全的算法，愿闻其详.一般看到在数据库的客户密码都是md5密钥，不知哪位能从中弄出几位然后生成部分组合..如果可以生成，那这个算法本身不就是可逆的了？因为组合生成是相同的，换言之，比如原始密码123456，共6位，加密后是a0bce34779f00aa00f00f0ffaab434c,然后服务器生成序号为3241,就是要你输入密码中的3、2，4、1位，你输入后，server怎么校验？

MathSlope

持楼主这种想法...是没做过服务器数据库用户管理者才想得出的.....

Marshall

先支持楼主

不过这种方法好象还不适用现有的加密方式