4-1身份與訪問安全——身份認證ppt課件

1、身份與訪問平安基于口令的認證案例與分析南京師范大學(xué)計算機科學(xué)與技術(shù)學(xué)院陳 波2021年12月21日上午，中國最大的開發(fā)者技術(shù)社區(qū)CSDN網(wǎng)站遭到黑客攻擊，600余萬用戶資料遭泄露。以后陸續(xù)幾天，天涯、人人、當(dāng)當(dāng)、凡客、杰出、開心、多玩等多家網(wǎng)站，相繼被曝出密碼遭網(wǎng)上公開泄露。目前，網(wǎng)上公開暴露的網(wǎng)絡(luò)賬戶密碼已超1億個，包含用戶密碼的數(shù)據(jù)包依然可以在網(wǎng)上找到下載。國內(nèi)最大的破綻報告平臺烏云上還在不斷有用戶密碼走漏事件公布。案例：國內(nèi)著名網(wǎng)站用戶密碼泄露事件案例思索：1. 在用戶對信息資源的訪問過程中，用戶密碼口令起到什么作用？2. 基于用戶口令的身份認證面臨哪些平安要挾？如何確?？诹钫J證的平安性

2、？3. 除了運用口令，人們還可以采用哪些方法標(biāo)識身份，進展身份鑒別？1. 身份認證的概念用戶密碼，嚴厲地稱為用戶口令，實踐上在人們的信息資源活動中起到標(biāo)識用戶身份，并依此進展身份認證的作用，防止非授權(quán)訪問。身份認證Authentication是證明實體Entity對象的數(shù)字身份與物理身份能否一致的過程。身份認證技術(shù)可以有效防止信息資源被非授權(quán)運用，保證信息資源的平安。這里的實體可以是用戶，也可以是主機系統(tǒng)。1. 身份認證的概念在計算機系統(tǒng)中，身份Identity是實體的一種計算機表達，計算機中的每一項事務(wù)是由一個或多個獨一確定的實體參與完成的，而身份可以用來獨一確定一個實體。根據(jù)實體的不同，身

3、份認證通?？煞譃橛脩襞c主機間的認證和主機與主機之間的認證，不過本質(zhì)上，主機與主機之間的認證依然是用戶與主機系統(tǒng)的認證。1. 身份認證的概念身份認證分為兩個過程：標(biāo)識與鑒別。標(biāo)識Identification就是系統(tǒng)要標(biāo)識實體的身份，并為每個實體取一個系統(tǒng)可以識別的內(nèi)部稱號標(biāo)識符ID。識別主體真實身份的過程稱為鑒別Authentication，也有稱作認證或驗證。戶名或賬戶就可以作為身份標(biāo)識。為了對主體身份的正確性進展驗證，主體往往還需求提供進一步的憑證，例如密碼口令、令牌或是生物特征。系統(tǒng)會將主體提供的賬號和憑證這兩類身份信息與先前已存儲的該主體的身份信息進展比較，假設(shè)相匹配，那么主體就經(jīng)過了身

4、份鑒別。思索到身份鑒別是身份認證的重要組成部分，鑒別與標(biāo)識也嚴密聯(lián)絡(luò)，所以后面不再對認證和鑒別做區(qū)分。1. 身份認證的概念創(chuàng)建和發(fā)布的身份信息必需具有3個特性：1獨一性。標(biāo)識符必需是獨一的且不能被偽造，防止一個實體冒充另一個實體。不同的計算機系統(tǒng)、不同的運用中，可以運用不同的方式來標(biāo)識實體的身份：可以是一個獨一的字符串，可以是一張數(shù)字證書類似于現(xiàn)實生活中的居民身份證，也可以是主機IP地址或MAC地址Media Access Control，媒介訪問控制。例如：Windows系統(tǒng)的登錄用戶名和口令標(biāo)識了一個用戶的身份；翻開Office文檔的口令標(biāo)識了用戶的身份；校園網(wǎng)用戶登錄學(xué)校圖書館資源時根據(jù)

5、用戶的IP地址確認用戶主機的合法身份等。1. 身份認證的概念創(chuàng)建和發(fā)布的身份信息必需具有3個特性：2非描畫性。任何身份的標(biāo)識都不能闡明賬戶的目的，例如Administrator這樣的身份標(biāo)識對于攻擊者太具有誘惑力了。3權(quán)威簽發(fā)。有的身份標(biāo)識，如數(shù)字證書該當(dāng)由權(quán)威機構(gòu)頒發(fā)，以便對標(biāo)識進展驗真，或在出現(xiàn)爭論時提供仲裁。案例思索：1. 在用戶對信息資源的訪問過程中，用戶密碼口令起到什么作用？2. 基于用戶口令的身份認證面臨哪些平安要挾？如何確?？诹钫J證的平安性？3. 除了運用口令，人們還可以采用哪些方法標(biāo)識身份，進展身份鑒別？2.基于口令的用戶身份認證平安性分析用戶U認證懇求認證系統(tǒng)S用戶ID 密碼

6、admin 123456chenbo 456789 用戶信息平安認識不高；口令質(zhì)量不高。攻擊者運用社會工程學(xué)，騙取口令。偽造的登錄界面；在輸入密碼時被鍵盤記錄器等盜號程序所記錄口令在傳輸過程中被攻擊者嗅探到?？诹钤跀?shù)據(jù)庫中沒有加密保管；數(shù)據(jù)庫文件沒有訪問控制來看看大家最經(jīng)常運用的密碼是什么吧2.基于口令的用戶身份認證平安性分析運用最多的密碼長度是8位竟然不要求長度2.基于口令的用戶身份認證平安性分析如何提高口令質(zhì)量？對于用戶增大口令空間。計算口令空間的公式：S = A M選用無規(guī)律的口令多個口令用工具生成口令對于網(wǎng)站登錄時間限制。限制登錄次數(shù)。盡量減少會話泄漏的信息。添加認證的信息量。2.基于

7、口令的用戶身份認證平安性分析CSDN 杯最強密碼大決選總冠軍：ppnn13%dkstFeb.1st?？床欢棵艽a解析：娉娉裊裊十三余，豆蔻梢頭二月初。csbt34.ydhl12s密碼解析：池上碧苔三四點，葉底黃鸝一兩聲CSDN 杯最強密碼大決選(續(xù)1)for_$n(RenSheng)_$n+=die密碼解析：人生自古誰無死while(1)Ape1Cry&Ape2Cry;密碼解析：兩岸猿聲啼不住doWhile(1)LeavesFly();YangtzeRiverFlows();密碼解析：無邊落木蕭蕭下，不盡長江滾滾來CSDN 杯最強密碼大決選(續(xù)2)Tree_0f0=sprintf(2_Bird

8、_ff0/a); 密碼解析：兩個黃鸝鳴翠柳CaCO3=CaO+CO2密碼解析：無語Windows 8 圖片密碼Windows 8操作系統(tǒng)添加的“圖片密碼。圖片密碼方便記憶，省去了用戶記憶繁雜口令字符串的過程，且非常便于觸控屏用戶的運用，用戶體驗度高；與口令字符串相比，“圖片密碼不會出現(xiàn)口令竊取以及口令喪失的平安要挾，平安性較好。2.基于口令的用戶身份認證平安性分析用戶U認證懇求認證系統(tǒng)S用戶ID 密碼admin 123456chenbo 456789 用戶信息平安認識不高，口令質(zhì)量不高?？诹钤趥鬏斶^程中被攻擊者嗅探到。鍵盤記錄器視頻攻擊者運用社會工程學(xué)，騙取口令。偽造的登錄界面；在輸入密碼時被

9、鍵盤記錄器等盜號程序所記錄口令在數(shù)據(jù)庫中沒有加密保管；數(shù)據(jù)庫文件沒有訪問控制維護輸入口令平安控件本質(zhì)是一種小程序。由各網(wǎng)站根據(jù)需求自行編寫。當(dāng)該網(wǎng)站的注冊會員登錄該網(wǎng)站時，平安控件發(fā)揚作用，經(jīng)過對關(guān)鍵數(shù)據(jù)進展加密，防止賬號密碼被木馬程序或病毒竊取，可以有效防止木馬截取鍵盤記錄。平安控件任務(wù)時，從客戶的登錄不斷到注銷，實時做到對網(wǎng)站及客戶終端數(shù)據(jù)流的監(jiān)控。就目前而言，由于平安控件的維護，客戶的帳號及密碼還是相對平安的。要防止偽裝的平安控件。維護輸入口令2.基于口令的用戶身份認證平安性分析用戶U認證懇求認證系統(tǒng)S用戶ID 密碼admin 123456chenbo 456789 用戶信息平安認識不高

10、，口令質(zhì)量不高?？诹钤趥鬏斶^程中被攻擊者嗅探到。局域網(wǎng)密碼嗅探視頻攻擊者運用社會工程學(xué)，騙取口令。偽造的登錄界面；在輸入密碼時被鍵盤記錄器等盜號程序所記錄口令在數(shù)據(jù)庫中沒有加密保管；數(shù)據(jù)庫文件沒有訪問控制運用“驗證碼實現(xiàn)一次性口令認證某客戶端用戶登錄界面上設(shè)置了“驗證碼輸入框，此驗證碼是隨機值。目前，得到廣泛運用的驗證碼更多的是CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart，全自動區(qū)分計算機和人類的圖靈測試)，是一種主要區(qū)分用戶是計算機和人的自動程序。這類驗證碼的隨機性不僅可以

11、防止口令猜測攻擊，還可以有效防止攻擊者對某一個特定注冊用戶用特定程序進展不斷的登陸嘗試，例如防止刷票、惡意注冊、論壇灌水等。運用“驗證碼實現(xiàn)一次性口令認證運用“驗證碼實現(xiàn)一次性口令認證綁定手機的動態(tài)口令實現(xiàn)一次性口令認證支付寶的“手機寶令是一款直接安裝在手機客戶端上的平安認證產(chǎn)品，不需求額外的硬件支持。用戶手機安裝了“手機寶令軟件后，該客戶端軟件與支付寶效力器按照同樣的算法運算，軟件每30秒與效力器端同步生成一條動態(tài)口令。用戶開啟手機寶令的平安效力后，在客戶端進展修正密碼、支付寶支付等操作時，除了需求輸入本人的帳號和口令外，還需求輸入手機寶令的動態(tài)密碼。驗證用戶輸入正確之后，用戶才干進展下一步

12、操作。綁定手機的動態(tài)口令實現(xiàn)一次性口令認證動態(tài)口令也可以與手機號碼綁定運用，經(jīng)過向手機號碼發(fā)送驗證碼來認證用戶的身份。支付寶運用中，用戶懇求了短信校驗效力后，修正賬戶信息、找回密碼、一定額度的賬戶資金變動都需求手機校驗碼確認。支付寶效力器會將動態(tài)口令，即手機校驗碼，發(fā)送到用戶賬號注冊時綁定的手機號碼上。合法用戶可以經(jīng)過接納手機短信，輸入動態(tài)口令，完成認證。當(dāng)然，假設(shè)用戶手機喪失，其支付寶賬戶將面臨很大平安風(fēng)險。運用動態(tài)口令牌實現(xiàn)一次性口令認證動態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏，并根據(jù)專門的算法定時自動更新口令的硬件設(shè)備。動態(tài)口令牌的運用簡一方便，動態(tài)口令定時更新，用戶只需根據(jù)系統(tǒng)的

13、提示，輸入動態(tài)口令牌上當(dāng)前顯示的口令即可。支付寶和中國聯(lián)通結(jié)合推出的“寶令就是一款動態(tài)口令卡的產(chǎn)品。用戶開啟效力后，在進展付款時，需求輸入支付密碼以及動態(tài)口令，確保賬戶資金更加平安。運用USB Key加強認證平安性USB Key是一種包含USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證?；赨SB Key的運用包括支付寶的“支付盾，網(wǎng)上銀行的“U盾等?！癠盾是銀行推出的存放客戶證書的平安工具。“U盾效力于網(wǎng)上銀行的數(shù)字認證和電子簽名需求。它的任務(wù)原理和認證方式同“支付盾類似?！爸Ц抖苁侵Ц秾毻瞥龅钠桨伯a(chǎn)品。用戶登

14、錄支付寶進展在線支付時，需求插入包含用戶數(shù)字證書的支付盾，效力器驗證數(shù)字證書的真實性之后，用戶才干進展支付操作運用智能卡加強認證平安性智能卡Smart Card是一種更為復(fù)雜的憑證。它是一種將具有加密、存儲、處置才干的集成電路芯片嵌裝于塑料基片上而制成的卡片。智能卡普通由微處置器、存儲器等部件構(gòu)成。為防止智能卡遺失或被竊，許多系統(tǒng)需求智能卡和個人識別碼PIN同時運用。運用生物特征、生物行為加強認證平安性雖然網(wǎng)上銀行廣泛運用的U盾認證方式相比于“用戶名+口令的方式平安性要高，但它依然有許多缺陷，例如需求隨時攜帶U盾，也容易喪失或被竊。與這兩種認證方式相比，利用用戶本身的特征進展認證，也就基于生物

15、的認證技術(shù)Biometrics，具有無法比較的優(yōu)點：用戶不用再記憶和設(shè)置密碼，運用更加方便。生物特征認證技術(shù)曾經(jīng)成為目前公認的、最平安和最有效的身份認證技術(shù)，將成為IT產(chǎn)業(yè)最為重要的技術(shù)革命。運用生物特征、生物行為加強認證平安性基于擊鍵特征的身份認證是利用一個人敲擊鍵盤的行為特征進展身份認證。擊鍵行為特征包括擊鍵間隔、擊鍵繼續(xù)時間、擊鍵位置，甚至擊鍵壓力等。北京微通新成網(wǎng)絡(luò)科技的“鍵盤芭蕾就是一款靜態(tài)口令認證和擊鍵特征認證相結(jié)合的雙要素身份認證產(chǎn)品，它不僅會檢測用戶輸入的賬號和密碼能否正確，而且還搜集用戶的擊鍵間隔、擊鍵繼續(xù)時間等擊鍵特征。只需用戶的靜態(tài)口令輸入正確且擊鍵特征與系統(tǒng)用戶相符，用

16、戶才干經(jīng)過身份認證。2.基于口令的用戶身份認證平安性分析用戶U認證懇求認證系統(tǒng)S用戶ID 密碼admin 123456chenbo 456789 用戶信息平安認識不高，口令質(zhì)量不高?？诹钤趥鬏斶^程中被攻擊者嗅探到。攻擊者運用社會工程學(xué)，騙取口令。偽造的登錄界面；在輸入密碼時被鍵盤記錄器等盜號程序所記錄口令在數(shù)據(jù)庫中沒有加密保管；數(shù)據(jù)庫文件沒有訪問控制對口令數(shù)據(jù)庫等重要資源的防護資源用戶身份標(biāo)識與鑒別訪問授權(quán)與控制日志記錄與審計加密、哈希等管理等平安措施2.基于口令的用戶身份認證平安性分析用戶U認證懇求認證系統(tǒng)S用戶ID 密碼admin 123456chenbo 456789 用戶信息平安認識不

17、高，口令質(zhì)量不高?？诹钤趥鬏斶^程中被攻擊者嗅探到。攻擊者運用社會工程學(xué)，騙取口令。偽造的登錄界面；在輸入密碼時被鍵盤記錄器等盜號程序所記錄口令在數(shù)據(jù)庫中沒有加密保管；數(shù)據(jù)庫文件沒有訪問控制案例思索：1. 在用戶對信息資源的訪問過程中，用戶密碼口令起到什么作用？2. 基于用戶口令的身份認證面臨哪些平安要挾？如何確?？诹钫J證的平安性？3. 除了運用口令，人們還可以采用哪些方法標(biāo)識身份，進展身份鑒別？案例思索：1. 在用戶對信息資源的訪問過程中，用戶密碼口令起到什么作用？2. 基于用戶口令的身份認證面臨哪些平安要挾？如何確?？诹钫J證的平安性？3. 除了運用口令，人們還可以采用哪些方法標(biāo)識身份，進展身

18、份鑒別？3. 身份認證技術(shù)身份認證過程中，需求將主體的賬號與憑證這兩類身份信息與保管的初始設(shè)定的進展比對，以此斷定主體身份的真實性。常用的3種憑證信息是：1用戶所知道的What you know，如要求輸入用戶的口令、密鑰或是圖片密碼中記憶的動作等；2用戶所擁有的What you have，如USB Key、U盾、智能卡等物理識別設(shè)備；3用戶本身的特征What you are，如用戶的指紋、聲音、視網(wǎng)膜等生理特征以及擊鍵等行為特征。3. 身份認證技術(shù)普通情況下，可以經(jīng)過多個憑證也有稱多因子來共同鑒別用戶身份的真?zhèn)?。我們在銀行ATM機上取款需求插入銀行卡，同時需求輸入銀行卡密碼，就是采用了雙因子認證。認證的因子越多，鑒別真?zhèn)蔚目煽啃跃驮酱?。?dāng)然，在設(shè)計認證機制時需求思索認證的方便性和性能等綜合要素。本講主要內(nèi)容：1. 在用戶對信息資源的訪問過程中，用戶密碼口令起到什么作用？1. 身份認證的概念2. 基于用戶口令的身份認證面臨哪些平安要挾？如何確?？诹钫J證的平安性？2. 基于口令的用戶身份認證平安性分析3. 除了運用口令，人們還可以采用哪些