随着网络的全面普及，网络平安问题也日趋严峻。暨著名的手艺交换社区CSDN爆出600余万用户明文密码吐露事件之后，天涯社区4000万用户明文密码也泄漏于世，紧随着人人网、高兴网、猫扑等，甚至京东商城、铛铛网、支付宝这样的电商网站都相继爆出密码泄露问题，几百万上千万的用户资料赤裸裸的吐露在公开的网络平台之上，让我们不由的担忧起网络日益严峻的平安问题。

现如今，很多电商及银行的网站都采取了动态密码办事，年夜年夜的保障了用户的信息和资金平安，主要体例有：

1、动态口令卡：近似于刮刮卡形式，通过反正两个指标来确定当前密码。

常见：银行口令卡等；

缺点：需要随身携带，且容易被复制或拍照记下，平安性相对不高，并且有限次使用。

2、硬件令牌：按照专门的算法（一般为时间算法）生成一个不成预测的随机数字组合，每个密码只能使用一次，或近似于U盾一类的需插入硬件进行数据比对。

常见：U盾、QQ令牌等；

缺点：需要随身携带，使用较为繁琐，并且要破费很多硬件本钱；

3、手机口令：一种是通过软件来实现动态口令的生成，另外一种较为简单，通太短信获得验证码来确认身份；

常见：QQ手机令牌，支付宝付款手机验证码等；

缺点：需要和手机绑定，如遇改换手机号则较为麻烦，有时还会遇到延时或无法领受，网站需摆设短信平台，年夜量短信需要很多本钱；

以上各类体例各有其优点，但都有一个很年夜的问题，就是不适合中小网站摆设，都需要破费年夜量的时间本钱和资金本钱，且给用户增加了很多承担；那么有没有一种更加便利快捷并且无需本钱的平安口令解决方案呢？

笔者通过量年的网络扶植经验，总结并发现了一种简单并行之有效的动态口令实施方案，且适用各类语言编写的网站，中小网站都可快速摆设。

中小网站用户登录常常使用的体例为："用户名+密码" 或 "用户名+密码+验证码"；即便采取了MD5加密，也无法包管客户密码不会泄露，因为密码的输入过程有可能被旁边的人看到，或电脑后台的木马记实，如果要解决这个问题，那只有一个别例，让看到的人或监听密码的木马上当，也就是说，他们看到或记实到的密码其实不是真正的密码，因为密码随时都在转变！

具体解决体例：原有的"用户名+密码"的选项可以继续保存（验证码完全可以取消），增加一栏动态密码框，验证需要三项成果匹配才能登岸。

下面就来重点诠释一下如何设计动态密码框：笔者采取的体例是操纵"时间算法"来生成动态口令，因为时间是每分每秒都在转变的，用时间来做算法，可以确保动态口令的时效性，即：上一秒的密码在下一秒就失效了。举例，现在时间是"14:28分54秒"，则动态密码可以设定为"142854"，后台获得当前时间设为"A"，输入框的值为"B"，当输入"142854"时，则"B=A" 验证通过！为了避免输入的时间差，可以在前台把时间直接赋值给"A"，然后在后台进行比对。

当然，在实际运用中，我们不成能直接把时间作为动态口令，这样不单太过简单，并且无法多人共用这个别系，因此，我们要在"时间"的根本上来做文章，即设定每小我特定的算法。仍是以上面的时间"14:28分54秒"为例，我们现在进行拆分，并增强算法，为了便于记忆，我将时间分为三个部分"14、28、54"，并以数字"365"作为附加口令，算式如下："14×3、28+6、54+5"，即最终动态密码实际为"423459"，除你之外，他人底子无法得知"423459"是从何而来，如果被他人不小心看到或木马记实下了这个数字，那也无需担忧，因为，这个密码下一秒便失效了，他人没有你的算法，也就无法得知当前的动态密码是什么。如果希望加倍的平安，我们设置可以在此根本上不竭的转变，比如引入"+-×÷"，附加口令也可以是任意自己易记的数字，如生日、身份证号等，"时间+附加码"通过特定算法随意组合。

OK，年夜功成功！这样的密码除设定者本人以外，任谁也想不到是如何得来的，并且每秒都在转变，最关头的是，对法度员来讲，只需短短10分钟便可摆设完毕！