[发明专利]提供时间比例式密码/盘问认证的方法与计算机装置

说明书

技术领域

本发明涉及关于提供密码式盘问认证的机制；尤其是提供时间比例式密码/盘问认证的方法与计算机装置。

背景技术

日常生活中使用到各式各样的信息装置，例如移动电话、个人计算机、笔记型计算机、平板计算机等，其中都可能储存有使用者的个人数据及身分数据。随着网络的普及，越来越多的网络应用以联机操作（on-line）执行。特别是，服务器为了提供网络服务，例如社交网络服务、网页邮件服务、移动商务服务、银行线上交易服务、数据库访问服务或是内容信息提供服务等等，也储存有使用者的个人数据及身分数据。因此为了安全性以及隐私的考量，服务器或个人信息装置一般都会要求使用者在使用其服务前，需遵守认证（authentication）程序以识别使用者身份。目前，最常用的是密码式盘问（password-based challenge）认证程序。例如服务器一般会要求使用者在使用其服务前，需先输入使用者帐号与密码（或称访问码）来进行身份识别(或称为登陆)，避免使用者的个人数据被盗取或窜改。

由于网络涵盖范围及可访问性的快速增加，简单的密码不再能提供足够的保护，各种不同机制被提出以提供更佳的保护。例如，要求密码长度、复杂性及不可预测性，以获得抵御粗暴及字典式搜寻攻击的密码强度。此外，要求定期地更改密码，使旧密码失效，因而可减少密码被破解的可能性。这些机制增加了安全性，因此能帮助使用者保护其帐号。

然而，如图1所示，客户端100通过网络140通过盘问101及提供帐号/密码102的认证程序，对网站A 110、网站B 120、网站C 130等要求不同网络服务。实际上多数使用者对不同的网站A 110、网站B120、网站C 130等通常使用不同的帐号/密码。这些机制要求使用者必须记住多个访问不同网站的网络服务的密码。此外，人们往往每天仅登入少数网站，因此通常不容易正确无误地记住那些很少拜访的网站的密码。一般情况，使用者必需试着猜密码，且很可能因太多错误尝试而被锁住。

因此存在能帮助使用者记住令人困扰的密码且又能维持安全性的需求。现有的一次性密码（one-time password，OTP）技术提供解决方案。然OTP要求额外的技术以提供密码给使用者。许多情况下，OTP技术使用电子装置。此电子装置可能遗失，因此增加了遗失密码的风险。此外，不同组织可能很难分享其OTP产生机制。使用者若要访问不同网站提供的网络服务，则将需要不同的电子装置。因此，使用者将需要随身携带多个电子装置，这更增加遗失的风险。

密码提示（hint）的机制提供了另一解决方案。然而，此机制可能降低安全性，因为非授权者通常也能看到此密码提示，因而能帮助黑客破解密码。此外，此机制很难对复杂的密码提供适当的密码提示。因此，今日机密的（sensitive）系统很少利用此机制。

目前有许多提供更佳保护的密码式盘问的方法，例如可参考美国专利US 7653818，在此以引用的方式并入本文。该美国专利US7653818公开了密码输入时加入，例如限制密码键击(keystrokes)的时间，且在键击间加入预定长度的暂停（pause）时间等时间因素，作为密码的一部分以增加安全性使其免于无授权的访问。

发明内容

本说明书中所提及的特色、优点、或类似表达方式并不暗示本发明可实现的所有特色及优点应在本发明的任何单个的具体实施例内全部实现。而是应明白，有关特色及优点的表达方式是指结合具体实施例所述的特定特色、优点、或特性包含在本发明的至少一个具体实施例内。因此，本说明书中对于特色及优点、及类似表达方式的论述可与相同具体实施例有关，但也非必要。

此外，可以任何合适的方式，在一个或多个具体实施例中结合本发明所述特色、优点、及特性。本领域技术人员应明白，在没有特定具体实施例的一个或多个特定特色或优点的情况下，也可实施本发明。在其它例子中应明白，特定具体实施例中的其它特色及优点可能未在本发明的所有具体实施例中出现。

本发明提供一种新的密码式盘问机制以识别使用者身份。该机制除考量现有密码式盘问机制的密码键击的输入顺序外，每一键击输入所需的时间、每一键击输入间的暂停时间及整体键击输入所形成的所谓的节奏（rhythm）、节拍（tempo）或拍子（beat）等都作为密码的一部分。本发明除考量时间因素外，还考量节奏的快慢来输入密码（或称访问码）(或触控屏幕输入的图案（pattern）)，以进行本发明所谓的时间比例式（Time Ratio-Based）密码/盘问认证的方法。即，不同速度的节奏（快慢不同）的密码输入，将被视为相同密码。