[发明专利]一种账户认证方法及装置

说明书

本申请实施例提供了一种账户认证方法及装置，涉及信息安全技术领域。该方法包括：在接收到用户终端发送的携带待认证账户的账户信息的认证请求后，获取待认证账户对应的连续认证失败的次数；当连续认证失败的次数大于或等于预设的验证阈值时，向用户终端发送指示信息，指示信息用于指示输入验证码；若接收到用户终端发送的验证码，且确定接收到的验证码通过验证，则根据账户信息对待认证账户进行认证；若未接收到用户终端发送的验证码，或者确定接收到的验证码未通过验证，则丢弃认证请求。采用本申请，可以提高用户体验。

技术领域

本申请涉及信息安全技术领域，特别是涉及一种账户认证方法及装置。

背景技术

相关技术中，用户通常使用待认证账户的账户信息(比如用户名和密码)进行认证，以在认证成功后，获取预设的网络权限。但此种认证方式存在安全性问题，在攻击者获取待认证账户的用户名的情况下，攻击者可以暴力破解该用户名对应的密码，即，攻击者根据获取的用户名，借助自动化破解工具逐一输入不同的密码，进行认证，直至输入的密码正确为止。

为了防止攻击者的暴力破解，现有技术中服务器通常会检测服务器对待认证账户进行认证时的连续认证失败的次数。如果连续认证失败的次数达到预设的锁定阈值，则服务器锁定该待认证账户，停止对该待认证账户进行认证。在管理员解锁该待认证账户后，服务器才会对该待认证账户进行认证。

基于上述技术方案，如果攻击者对某一账户进行暴力破解，则该账户将会被锁定。此时，该账户的合法用户也无法对该账户进行认证，只有在合法用户请求管理员解锁该待认证账户后，才可以进行认证，为合法用户带来了额外的解锁操作，影响用户体验。

发明内容

本申请实施例的目的在于提供一种账户认证方法及装置，可以提高用户体验。具体技术方案如下：

第一方面，提供了一种账户认证方法，所述方法应用于服务器，所述方法包括：

在接收到用户终端发送的携带待认证账户的账户信息的认证请求后，获取所述待认证账户对应的连续认证失败的次数；

当所述连续认证失败的次数大于或等于预设的验证阈值时，向所述用户终端发送指示信息，所述指示信息用于指示输入验证码；

若接收到所述用户终端发送的验证码，且确定接收到的验证码通过验证，则根据所述账户信息对所述待认证账户进行认证；

若未接收到所述用户终端发送的验证码，或者确定接收到的验证码未通过验证，则丢弃所述认证请求。

可选的，在所述根据所述账户信息对所述待认证账户进行认证之后，所述方法还包括：

若根据所述账户信息确定所述待认证账户认证失败，则累加所述待认证账户对应的连续认证失败的次数；

若根据所述账户信息确定所述待认证账户认证成功，则将所述待认证账户对应的连续认证失败的次数置为初始值。

可选的，所述方法还包括：

当所述连续认证失败的次数大于或等于预设的锁定阈值时，锁定所述待认证账户，所述锁定阈值大于所述验证阈值。

可选的，所述方法还包括：

若在锁定所述待认证账户后，接收到所述待认证账户的解锁指令，则对所述待认证账户解锁；

和/或

在锁定所述待认证账户后开始计时，当达到预设时长时，对所述待认证账户解锁。

可选的，在所述获取所述待认证账户对应的连续认证失败的次数之前，所述方法还包括：

判断所述待认证账户是否被锁定；

如果所述待认证账户未被锁定，则执行获取所述待认证账户对应的连续认证失败的次数的步骤。