1. 把密碼和使用者分離,使用者自設定後不再直接接觸密碼,理論上擁有密碼的人等如原資料擁有人;
2. 密碼的作用在於分辦身份,但用密碼不等於輸入密碼;數學上,可以做到擁有密碼的人因為擁有密碼而做到一系列的事,但不擁有密碼的人在理論上因為不擁有密碼而做不到一系列的事,或者是十分十分困難才做得到;
3. 每次驗證時在密碼中抽取一系列參數,而驗證過程就是利用這些參數來判定使用者是否擁有密碼的人,不擁有密碼的人因為沒有原本的密碼,只可以亂猜;當然,參數愈多,驗證過程愈複雜分辨的成效愈好,但最基本的原則是並不是利用驗證過程本身的複雜性來分辨,否則容易流於純資源的競賽,或者是不擁有密碼和擁有密碼的人的智力競賽;
4. 驗證成功,使用者可接觸該密碼指定接觸的資料,如要更改密碼,需透過另一個驗證過程,任何一個驗證過程都是建基於密碼,但它們在在邏緝上及數理上是完全獨立的。因此,理論上,就算驗證過程被全盤記錄,因為每一個驗證過程都是在邏緝上及數理上完全獨立(隨機的),而不可能有任何方法可以事先知道每一個驗證過程用什麼參數及利用它們來驗證的方法,因此不擁有密碼的人得物無所用。
*5. 為了提高系統的安全性,每一個成功驗證過程本身都會利用其結果作為參數來修改密碼本身,而會即時提示密碼如何被修改,最簡單的方法莫過直接用輸入的資料來修改密碼,但因為這樣等如透露了密碼,所以可以採用間接的方法,即利用輸入的資料作為參數來修改密碼,例如以輸入的資料以簡單的數學運算直接加入密碼而成為新密碼;而每次改密碼的過程都是在邏緝上及數理上完全獨立(隨機的)。
6. 理論上,要對付本方法,必須收集大量同一密碼的資料來旁敲側擊,問題是如此一來便無法保證有一個固定的方法可以破解密碼,亦不可以保證在一定的時間內一定可以破解密碼,因為每次問題的難度不同。而且,破解密碼的系統亦不可能從自己的經驗中學習,除非它的運算資源是數百萬/億部於對手。
7. 本方法目的是以小勝多,以弱勝強,對於密碼擁用者來說用最少的運算資源可以做到的事,破解者在理論上必須用成指數的運算資源來對付。密碼擁用者不須用長長而難記的密碼,亦不須在意加密及解密!
Problem for existing password protection for access:
1. Short password subject to brute force attack and vulnerability in encryption.
2. Long password is unreliable because of the unreliability of human memory.
3. Encryption and Decryption require a lot of system resource, and it is a costly arm race.
This Solution provides:
1. Lesser system resource required compare to existing method.
2. But it can also be combined with existing method, and use existing method as a supplement.
3. Brute force method simply wouldn’t work, because the cracker can’t learn anything useful from an result of each instance of attack. Even if the attacker get lucky in one instance, he can’t alter/change the password; nor there is any guarantee he could enter the account next time.
4. The password is protected in case of the transmission is intercepted, and the process of ‘entering the password’ could be done in board daylight without the password being comprised.
5. Stronger differentiation with the same password compare to existing methods, the effect of a password is amplified thousand time Mathematically. i.e. Those who know the password will be million time easier to enter the system than those who guess blindly.
6. Simple to implement, no fancy quantum-computing algorithm required.
*7. The password is updated every time the user use it.
Ask me for the draft design document, and I welcome all form of cooperation. It could be readily applied by banks, cooperation, government, schools… etc.