周广明的博客

.Net & MS SQL Tech
  博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

ASP.NET验证码技术及其实现

Posted on 2008-12-23 12:09  Zhougm  阅读(663)  评论(0)    收藏  举报

验证码(实例代码下载)

验证码原理 
     在现在的软件运行环境下,安全成为大部分软件必须考虑的问题,黑客无处不在,攻击方式日益丰富,尤其是WEB系统由于其开放性更是遇到严峻的考验,黑客事件层出不穷,造成的损失和影响也不断变大,对此我们软件开发人员需要对此有相当的认识并采取措施抵御各种黑客攻击。

枚举字典安全攻击
    在各种黑客攻击中,很常见的就是套取用户名和密码,其中很多是采用枚举字典的方式来不断的测试用户名和密码。

 

     

      比如某黑客获得一银行账号,然后打开账号的开户银行的网上银行登录界面。分析其中的HTML代码,发现其页面粗制滥造,没有验证码,没有任何安全控制,只要求输入银行账号和取款密码就可以登录。黑客心中大喜,马上写了一个程序,直接调用HTTP协议,使用程序来模拟浏览器向网上银行服务器提交账号和密码尝试登录。由于取款密码是6位阿拉伯数字,因此也就有一百万种组合,黑客的电脑从六个零开始测试一直到六个九,这一定会测试出真正的密码。黑客找到一台宽带高速上网的电脑,运行套取取款密码程序后就忙其他事了,假设这台电脑1秒能测试10个密码,于是花费10万秒的时间肯定能找到密码。10万秒也就是27小时,一天多点的时间,实际上很可能用不了那么长的时间。黑客外头转了一圈回来,发现密码已经找到了,于是马上登录网上银行捞钱,或者伪造一个银行卡去ATM机上提取现金。也就是说黑客最多花了一天时间即可获得数目不可预知的非法收入。
验证码防御 
     网上银行可以有很多手段来抵御黑客攻击,比如使用ActiveX控件代替标准的文本框来输入账号和密码,可以使用USB接口的密码盘来进行数据加密和检测,或者使用一个客户端程序代替浏览器来登录网上银行。但这些是客户端技术,千千万万的黑客可以操着各种手术刀来解剖这些技术,从根本上说客户端技术是不可靠的。
     相对而言采用服务器端技术就比较安全了。比如发现密码连续错误3次即锁定账户,1天后才能登录;也可以使用验证码技术来很大程度的抵御枚举字典套取密码的攻击。
     现有一个新的网上银行,和旧网银差不多,但采用了验证码技术,用户登录时除了要输入账号和取款密码,浏览器还显示一个图片,里面显示了一些潦草的字符,用户需要辨认这些字符然后再输入进去,浏览器向服务器提交表单时会附加用户输入的验证码,服务器接受表单数据后除了校验账号和取款密码后,还要检查验证码是否输入正确,若登录信息校验失败,则服务器端则会提示重新登录,而且还生成包含随机内容的新的验证码,用户在次登录时又得重新识别新的验证码了。
     由于正确的验证码文本是保存在服务器上的,客户端的黑客程序不可能获得,验证码的内容是随机的,黑客程序也无法找到规律,只能辨认从服务器端发出的包含验证码的图片来获得验证码。这里就体现了电脑和人脑的差别了,人脑在图形识别方面远远超过了目前的电脑,服务器端使用一些技术生成的书写潦草,充满随机分布的杂点的图片,人脑是可以相当容易的识别的,但目前的电脑是难以识别的。黑客程序无法识别验证码,只能显示图片让黑客亲自辨认,这时每测试一次密码,黑客都得仔细辨认一下验证码图片,然后手工输入验证码文本。最多要输入一百万次,估计全世界没人会愿意进行这样的工作。这样验证码技术就有效的抵御了这种枚举字典测试密码的安全攻击。此时黑客会转而寻找其他方法,而大量的初级黑客会放弃攻击这个网站。
验证码技术概念 
     验证码技术利用了人脑和电脑之间的差别。
     大家都知道电脑和人脑是存在很大的差别的,电脑很胜任数值运算和精确的逻辑判断,很适合执行那些重复又重复的简单数据处理,但图像识别,模糊逻辑判断,学习和创新能力很差。而人脑正好相反,数值运算不行,但图像识别却很擅长。
     在验证码技术中,有一个很关键的过程就是需要从一个充满随机形状的图片中辨认出验证码文本,这个过程目前的电脑是难以实现的,而对人脑却能相当容易。
     采用电脑难于识别而人脑容易识别的图片,强迫人脑参与安全信息验证过程,就是验证码技术。这里包含验证码文本的图片是验证码媒介。仔细观察,我们可以知道这种验证码媒介具有电脑创建容易识别难的特点,因此类似的我们也可以采用合成语音等其他手段来作为验证码媒介。例如服务器提供一个类似QQ表情的图片,加上噪声,然后让用户判断选择这个图片的表情状态,是哭是笑还是流鼻血,这样也可以当作验证码。
     由于枚举字典安全攻击需要大数量的尝试猜测安全信息,其重复过程可能需要数万甚至数亿次,而验证码技术强迫了人脑参与每一次尝试猜测安全信息,人脑难以胜任长时间高频率的简单重复劳动,因此这就使得枚举字典安全攻击变得不可行,如此应用程序成功的防御了枚举字典安全攻击。
ASP.NET中使用验证码技术 
     由于验证码技术中服务器程序需要创建验证码图片,里面用到了图形编程。
     根据验证码的原理,使用C#在ASP.NET中实现了验证码的功能。由于每次尝试登录或更换验证码图片时,正确的验证码都是随机的发生改变,毫无规律,这样就很大的增强了登录页面的安全性。但这样做会让用户登录时需要辨认和输入验证码,这会降低应用程序的可用性。因此是否使用验证码技术是需要多方面权衡的。

(参考资料来源www.51aspx.com)