@怪人
2年前 提问
1个回答
用户输入的保护措施有哪些
安全侠
2年前
用户输入的保护措施如下:
键盘字符混排:键盘字符混排在输入账号密码时随机生成键盘,使每次输入的点击位置都不相同。此方法可以有效防护攻击者通过adb shell的方式,记录操作按键键位以反推出用户输入的字符信息。这样,就算攻击者能够监控到键盘的按键记录,也会因随机键盘而难以猜测出用户输入的内容,大大提升安全性。
键盘防截屏:嵌入了防截屏功能,有效防止攻击者通过截屏技术窃取用户输入的信息。
显示去标识化:对用户的输入字符做了去标识化处理。在用户输入明文密码时,将明文信息立即转化为*字符进行显示,键盘无回显,并添加了水印效果以提升安全性。
移动端软键盘:用户通过安全键盘输入明文数据,数据在内存中进行去标识化处理,并且使用密钥白盒算法对数据进行加密,支持SM2算法,服务端对接收到的密文数据进行解密,保证在传输过程中只有密文的数据。
H5软键盘:用户点击输入框向服务端发起请求,服务端收到请求后生成混排的键盘图片并推送到浏览器。用户点击键位输入密码,安全键盘记录键位,并且使用密钥白盒算法(支持RSA/SM2算法)采用一次一密的方式对键位进行加密后传输给服务端,服务端对接收的数据进行解密,保证在传输过程中只有密文的数据。
密码安全校验策略:安全键盘提供接口判断用户输入的密码的字符类型、长度及组合方式,从而判断输入的是否是弱密码。