互联网跨入无密码时代，盗号木马再无生存之地，中国小子简单构想能否实现，靠你了

owlco

互联网跨入无密码时代，盗号木马再无生存之地，中国小子简单构想能否实现，靠你了！标准的建立有你

的功劳，还需众人的力量。提出你宝贵的意见、让更多的人提出宝贵的意见是对我最大的支持！让互联网

见识一下中国力量吧！世界标准，中国制定！
请转贴，请关注百度http://hi.baidu.com/nopassworld，请关注中国力量——笑忘欢
帐号安全认证系统
不啰嗦了，直接主题
帐号认证系统构思要点：（仅以网络中帐户认证为例）
    易用，安全，简洁
民用级别帐号认证多数为输入用户名，密码，附加码，然后认证。
密码这一环节主要有以下问题存在：密码的设定，密码过于简单安全性得不到保障，过于复杂难以记忆；

认证过程中密码的输入，这一过程最容易造成密码的泄漏，病毒、木马无孔不入。
附加码，附加码以密保为例，市面上流行一种字符阵列型密保，验证时需根据服务器提示的排列顺序输入

阵列上的字符，这一过程繁杂且给服务器带来一定负担，与客户端的数据通信，验证码的生成，大数量的

帐号认证给服务器带来的负担是可观的。
再说认证，认证过程是一服务器与客户端通信的过程，这一过程存在通信数据被截获、破解、伪造的风险

，同时这一通信过程是受限的，就目前而言限制的目的在于维护帐号安全。以QQ为例，n次密码错误后帐

号锁定，不法分子利用这个不算bug的bug给不少用户带来了不便。从长远来考虑限制应该也是为了防止黑

客的攻击，类似ddos攻击，黑客操控大规模僵尸网络向服务器发送大量无用用户认证信息很容易造成验证

通道的拥堵甚至崩溃。

以上问题如何解决？根本在于密码！取消密码!取消密码的验证过程！看官纳闷了？
没密码？无需密码认证？那不 乱套了啊？帐户哪还有安全性啊？不用密码,你说的是指纹认证或虹膜认证

之类的吧？no~!no~!no~!这些东西目前来说还达不到民用普及的要求，先不说它的成本，它还存在一个认

证过程，从根本上解决不了上面提到的问题。那么，如何取消密码和认证过程呢？当然认证过程是不可能

取消的，我所说的取消只是取消目前基于密码的认证过程。怎么做？由得小子慢慢道来。
帐号认证目的是什么？判断用户对某一账户是否拥有合法使用权并确定是否向用户开放这些权利。传统的

认证系统就像用户拿钥匙打开一栋大厦里自己房间的锁，找到自己的房间，开锁(以上提到过的弊端就不

再大比方举例子了自己可以想象)。可不可以简单点呢？比如要进房间了，事先通知自己的门锁，我要进

去了，锁开。看！不需要钥匙！那么帐号认证又这么做到这个呢？设定如下：帐户的两个状态锁和开（或

者加个冻结状态吧），若干台服务器甲、乙…，设定乙…为面向客户端的服务器，并开放特定端口给甲，

甲负责通知乙…某帐户的锁、开状态。客户要使用乙…上某帐户的步骤如下：通知甲我要用乙…上的某某

某，甲向乙发送打开某帐户的通知，客户登入…OK完成。（存在一系列问题，暂且不论）这不解决认证过

程的问题了吗！你要问了，通知甲不也得有个认证过程吗，要不乱套了？！嘿嘿~关键来了~~~~
服务器甲你换成中国移动的SP或类似其他的！明白了吧！移动终端想来够普及了！没手机？得~我给你想

办法，google投1000万美元征点子来了，你投我票，我给说说去让开发款便宜精简的通讯器：跟个读卡器

似的直接集成在PC里？插入sim卡（做成钥匙型~~嘿嘿~）自动处理。放心，与PC之间没数据传输，钥匙被

复制可就不 好玩了

Ps：问题一大堆，慢慢来完善



问题：
1“钥匙”丢失怎么办
大可放心，“钥匙”被人捡了没关系，不知道ID，开了锁也不知道进哪个门！我想谁不会傻到把ID写到“

钥匙”上的吧。“有钥匙”还知道ID的除了本人估计就比较亲密的朋友了。被盗？怪你交友不慎吧！
2帐号太多了，N把“钥匙”都不知道哪个对哪个了
其实可以简单点，一把钥匙开多把锁不就解决了。什么？比较繁琐？每次还得把钥匙“调”到开相应锁的

状态？一把钥匙通开会不会不安全啊？我建个模型给你看看。
设定：甲、乙、丙…..若干服务器，客户A帐户AID、B…..
甲服务器为存储了若干ID数据
A准备使用乙里帐户>>使用钥匙>>甲里AID状态“开”>>向乙提交AID>>乙检索甲里AID状态并通知甲A进入

了A的帐户>>甲里AID“锁”
B见到A使用了钥匙，同时又知道A在丙里帐户使用的ID也为AID，向丙提交AID，可想而知B是使用不了A的

帐户的。
A同时又想使用自己在丙里的帐户怎么办？钥匙再开一下呗
A用了钥匙突然又不想使用帐户怎么办？关一下就是了
A忘了关怎么办？没办法了，甲里设定下，N秒不进自动关

大家可能要问了这不又给黑客造成攻击的机会？使乙、丙…..频繁检索甲造成瘫痪？大家可能忘了小子先

前建的那个模型，甲通知乙….帐号的锁开状态。你想到了什么？对！两个模型结合起来！不多废话了！

就防攻击做个简单演示：
引用本章模型设定
B没能用上A的帐户，出于报复，疯狂向各服务器提交AID，想给A造成一定麻烦。
各服务器作出反映，3次检索了甲都没通过AID，各服里AID自动冻结不再检索，同时通知甲，有人恶意使

用AID，我冻结了我服里关于AID的一切，AID的主人准备使用的话请通知我。
如何防范大规模僵尸网络提交大量无效ID呢？正在考虑…………(此类攻击目前并不常见)



小子欢迎大家多提意见，同时希望大家能参与进来，一起定制一个标准，目前为bate1.0版本，名暂为   

NPβ1.0(no passworld β1.0)
1硬件接口
2软件要求
3………..

y

我估计。。写这东西的人没写过任何程序，却看了无数黑客故事

esnak

在黑客手里，sim算毛

破裤子

没看懂说的什么

cnys

广告

这家伙以为自己是爱因斯坦啊..我在很久前就想到了...
我学电子的..你那种不叫SIM卡..做个读卡器吧...你以为那种电子设备就不会出问题中毒吗？

落尘

鉴定：纯属构想！
道高一尺 魔高一丈！
P用都无 自找麻烦！

oujinjun

我下机就用手机发短信改密码!麻烦了点!但我觉得这是现在最安全的方法了.别告诉我你没有手机.:<

wykslina

哦。那万一...........

太多万一了

jq8778

开玩笑
一台机最多6W+端口，你开多少台机够13E人用
如果是我，1分钟内就能遍历完6W+端口，这样的构想，瞬间酒破除了