极限挑战第一季第9期下:白话解释“附加码”的工作原理？

什么是附加码？什么样的附加码是最安全的？

在计算机安全领域中，相信大家对穷举密码破解和字典密码破解这两个名词一定耳闻详熟了，对于一些黑客或准黑客来说，这是最常用的有效获得别人密码的方法。

在网络飞速发展的今天，网速已不在成为网络访问的瓶颈，在为人们上网提供更快的访问速度的同时也给黑客们提供了更广阔的发展空间，在线破解越来越大地威胁着网络安全。本文就谈谈在网络上，使用附加码的方法阻挡来自HTML页面提交的穷举的方法中的矛与盾。

如果你对网络有一些了解，在你上网的时候你应当被一些页面要求填写附加码的表单才能正常进入你的帐号。更进一步，如果你对安全有一些了解，你一定知道有专门的破解工具可以在线破解别人BBS帐号或在线邮件账号密码的工具，如大名鼎鼎的小榕之朔雪。那么附加码与朔雪类工具软件有什么联系呢？可以简单地说，附加码可以有效防止朔雪对你的攻击。

为什么附加码又有如此威力呢？我们先简单分析穷举的原理。穷举法攻击最重要的一个条件是：密码在攻击期间内不能变化。它总能在所有字母组合中通过不断地“试”直到成功的方法找到真正的密码。所以穷举法也可以叫排除法，和警察排除犯罪谦疑人差不多。那么，能不能在身份验证的时候加入动态的验证内容，使每一次身份验证时都输入不同的验证码来防止类似攻击呢？能！那就是附加码！附加码在WEB服务器上随机产生并记下来，再生成文字传给用户，用户照着手动输入提交，服务器对提交的附加码与记下来的附加码对比一下正不正确就完成了验证。因为每一次产生有附加码是随机的，所以朔雪就无能为力了。

但这也不是说有了附加码就高枕无忧了。那还得看你对附加码的认识和重视程度如何。

想一想，既然WEB服务器都把附加码传给了浏览器，哪为什么朔雪就不能把它读出来自动填上呢？理论上完全可以，只是朔雪没有那样做罢了。

哪不是附加码就没用了吗？也不是，下面我们再来看看什么样的附加码是最安全的。

所谓附加码，其实是专门应对在线破解登录密码的一种安全保卫技术，它是由服务器随机产生的、由数字和字母组成的一串字符，这些字符也是原密码的一部分。附加码对防范穷举法破解密码，是很有效的！因为每次进入密码登录界面，界面中的附加码都会发生变化，这样穷举法就无法试出密码了。

具体你可以看下面的这个链接：
http://zhidao.baidu.com/q?word=%B8%BD%BC%D3%C2%EB&ct=17&pn=0&tn=ikaslist&rn=10

....................十五级的复制大王...