使用硬件加密锁打造web安全登陆

最近的一个项目，对原有web应用提出加强安全方面的需求，跟很多web程序一样，原有的程序使用用户名密码通过网络即可进行登陆系统，当然谁有这个密码就都能登陆进去，这也一直是表单登陆的一个特点。

当然，对于登陆的安全控制，一般可以结合硬件来进行安全加强，比如说获取cpu信息、网卡信息等进行验证，对于C/S架构的程序来说更容易实现，而对于B/S的程序来说还是有一定难度的。

但是需求提出来了，如何解决呢。这里用到的就是一个USB-Key。在客户端用户登录时，插入锁进行后续操作，没有锁就直接挡在系统外面。一般情况下用户输入锁的密码，首先进行本地加密校验，本地校验通过后再通过随机数加密后传到服务器校验，这样即使中间传递过程被截获也只是加密后的结果不能获取加密前的密码，如果再在服务器验证程序上做登陆错误次数限制，绝对可以避免暴力破解。

网络上的潜在安全问题很普遍，采取方便有效的措施才能避免重大损失。这个解决方案可以重点应用在对数据安全比较重要的web应用、网站后台管理等方面。