新型密码-DQ密码的设计

4 效果分析
4．1 key-word动态化作用
服务机提供的动态关键码使用户每次输入的密码只能反应全码(注册时的6位全码)的一部分，即使被他人盗取登录过程，盗取者也无法获得全部密码信息，因此不能根据下一次服务机提供的示码正确输入。
4．2 side-word干扰码作用
(1)使得示码能够隐藏透露的密码信息示码中必定包含关键码，它是用户登录的有用指导信息，而干扰码的出现则是让示码中的字母(数字)信息减少其统计规律，从而让盗取者无法通过大量次数获取示码信息的而获得全码信息。例如：用户密码whu029为6个字母。而总的字符为24个英文字母和10个数字。以key-word个数3，示码个数8为例，在一次示码里，单个关键字母出现的概率为3／6，即为O．5；其他干扰字母单个出现概率为(8―3)／(34―6)，约为0．17。
由此看到干扰码对隐藏关键码的统计规律具有一定作用，特别在非法尝试次数不能超过3次，盗取者无法通过3次的示码显示统计关键码信息。
(2)引入干扰码干扰码的引入使得示码中关键码的排列随机化，用户输入的数字序列信息同样随机化，因此，加强输入与密码的分离性以及输入本身的不可预知性。
4.3 图片的作用
可使机器无法识别普通的图片处理技术，若要读取图片信息，必须人工参与。即便木马程序能够盗取图片信息，机器也无法读取图片信息。这使得破解过程一定要有人工参与：先通过木马记录用户的输入数字序列，然后木马截取图片，再由盗取者通过该数字序列辨识出对应于图片上的字母，得到一次登录的key-word信息。木马想获取全部密码信息需要记录用户多次登录过程(多达4―6次)，需要很长时间用户才会在该台机器(中木马病毒)上累计登录4~6次，这样盗取者则需要很长时间才能获取用户的全部密码信息；而用户在利用这段时间定期杀毒或采取其他措施能够有效查杀木马，则可终止盗取。
DQ码能够有效防止密码盗取。输入数字序列与密码信息的分离使木马记录用户鼠标键盘操作无意义；截取图片难度大，还可通过其他方法(例如：登录状态时禁用剪贴板，印张技术等)防止木马盗取图片；需要人工参与破解过程，增大了盗取难度；由于引入动态密码，一次盗取无法获取全部密码信息。盗取者需用更长时间来获取用户全部信息，这样有
利于病毒查杀。

5 应用
(1)ATM应用 目前，很多用户在ATM机上输入密码时，被偷窥而导致密码被盗。而这种DQ认证结构使得盗窃者难以获取全部的密码信息，并要识别模糊处理的示码图片，又要同时记录输入。更重要的是，密码是一次性的。
(2)网上银行银行电子化离不开信息安全技术，传统密码盗取即为木马病毒盗取，而采用DQ码则能够加强密码盗窃难度，木马除了记录用户输入外还能截取示码图片．并通过人工识别才能盗窃密码；只有当用户累计登录一定次数，木马才能记录全部信息，这样才能有利于木马病毒的查杀。

6 结论
在实例的全码为6个，每次给出3个key―word，原本只需由机器盗取一次用户登录过程信息即可完成的盗密过程，现在不仅需要人工参与，而且平均需用登录2―7次才可以完成盗取密码。如果每次给出的key―wod数目不定，所需次数更多。人工参与的新型DQ认证密码设计需多次盗取用户登录过程信息才能完成密码盗窃，这使盗密成本大大增加。因此，该种DQ认证密码设计能够有效防止密码被盗。
DQ认证结构的核心在于人本算法，在一个3x3方阵中，用户注册时任意指定2个或3个方格，登录时，服务器显示9个空位随机填满1～9处理的图片，用户将自己所指定方格中的数字相加，再将输入结果，作为登录密码。
由于一个数字可能有多种相加方法构成，所以可逆变得复杂。不仅图片人工识别涉及到人本计算，而且相加也涉及人本计算。相加是不可逆，而且更复杂。因此，这种DQ认证结构由于采用人本算法，迫使密码盗窃者进行人工破解，极大增加盗窃密码的成本，大大增强了密码的安全性。