身份與訪問安全-身份認(rèn)證課件

14三月2024身份與訪問安全——身份認(rèn)證2011年12月21日上午，中國(guó)最大的開發(fā)者技術(shù)社區(qū)CSDN網(wǎng)站遭到黑客攻擊，600余萬用戶資料遭泄露。此后陸續(xù)幾天，天涯、人人、當(dāng)當(dāng)、凡客、卓越、開心、多玩等多家網(wǎng)站，相繼被曝出密碼遭網(wǎng)上公開泄露。目前，網(wǎng)上公開暴露的網(wǎng)絡(luò)賬戶密碼已超1億個(gè)，包含用戶密碼的數(shù)據(jù)包仍然可以在網(wǎng)上找到下載。國(guó)內(nèi)最大的漏洞報(bào)告平臺(tái)——烏云（）上還在不斷有用戶密碼泄漏事件公布。案例：國(guó)內(nèi)著名網(wǎng)站用戶密碼泄露事件22案例思考：1.在用戶對(duì)信息資源的訪問過程中，用戶密碼（口令）起到什么作用？2.基于用戶口令的身份認(rèn)證面臨哪些安全威脅？如何確?？诹钫J(rèn)證的安全性？3.除了使用口令，人們還可以采用哪些方法標(biāo)識(shí)身份，進(jìn)行身份鑒別？331.身份認(rèn)證的概念用戶密碼，嚴(yán)格地稱為用戶口令，實(shí)際上在人們的信息資源活動(dòng)中起到標(biāo)識(shí)用戶身份，并依此進(jìn)行身份認(rèn)證的作用，防止非授權(quán)訪問。身份認(rèn)證（Authentication）是證實(shí)實(shí)體（Entity）對(duì)象的數(shù)字身份與物理身份是否一致的過程。身份認(rèn)證技術(shù)能夠有效防止信息資源被非授權(quán)使用，保障信息資源的安全。這里的實(shí)體可以是用戶，也可以是主機(jī)系統(tǒng)。441.身份認(rèn)證的概念在計(jì)算機(jī)系統(tǒng)中，身份（Identity）是實(shí)體的一種計(jì)算機(jī)表達(dá)，計(jì)算機(jī)中的每一項(xiàng)事務(wù)是由一個(gè)或多個(gè)唯一確定的實(shí)體參與完成的，而身份可以用來唯一確定一個(gè)實(shí)體。根據(jù)實(shí)體的不同，身份認(rèn)證通常可分為用戶與主機(jī)間的認(rèn)證和主機(jī)與主機(jī)之間的認(rèn)證，不過實(shí)質(zhì)上，主機(jī)與主機(jī)之間的認(rèn)證仍然是用戶與主機(jī)系統(tǒng)的認(rèn)證。551.身份認(rèn)證的概念身份認(rèn)證分為兩個(gè)過程：標(biāo)識(shí)與鑒別。標(biāo)識(shí)（Identification）就是系統(tǒng)要標(biāo)識(shí)實(shí)體的身份，并為每個(gè)實(shí)體取一個(gè)系統(tǒng)可以識(shí)別的內(nèi)部名稱——標(biāo)識(shí)符ID。識(shí)別主體真實(shí)身份的過程稱為鑒別（Authentication），也有稱作認(rèn)證或驗(yàn)證。戶名或賬戶就可以作為身份標(biāo)識(shí)。為了對(duì)主體身份的正確性進(jìn)行驗(yàn)證，主體往往還需要提供進(jìn)一步的憑證，例如密碼（口令）、令牌或是生物特征。系統(tǒng)會(huì)將主體提供的賬號(hào)和憑證這兩類身份信息與先前已存儲(chǔ)的該主體的身份信息進(jìn)行比較，如果相匹配，那么主體就通過了身份鑒別?？紤]到身份鑒別是身份認(rèn)證的重要組成部分，鑒別與標(biāo)識(shí)也緊密聯(lián)系，所以后面不再對(duì)認(rèn)證和鑒別做區(qū)分。661.身份認(rèn)證的概念創(chuàng)建和發(fā)布的身份信息必須具有3個(gè)特性：1）唯一性。標(biāo)識(shí)符必須是唯一的且不能被偽造，防止一個(gè)實(shí)體冒充另一個(gè)實(shí)體。不同的計(jì)算機(jī)系統(tǒng)、不同的應(yīng)用中，可以使用不同的方式來標(biāo)識(shí)實(shí)體的身份：可以是一個(gè)唯一的字符串，可以是一張數(shù)字證書（類似于現(xiàn)實(shí)生活中的居民身份證），也可以是主機(jī)IP地址或MAC地址（MediaAccessControl，媒介訪問控制）。例如：Windows系統(tǒng)的登錄用戶名和口令標(biāo)識(shí)了一個(gè)用戶的身份；打開Office文檔的口令標(biāo)識(shí)了用戶的身份；校園網(wǎng)用戶登錄學(xué)校圖書館資源時(shí)根據(jù)用戶的IP地址確認(rèn)用戶主機(jī)的合法身份等。771.身份認(rèn)證的概念創(chuàng)建和發(fā)布的身份信息必須具有3個(gè)特性：2）非描述性。任何身份的標(biāo)識(shí)都不能表明賬戶的目的，例如Administrator這樣的身份標(biāo)識(shí)對(duì)于攻擊者太具有誘惑力了。3）權(quán)威簽發(fā)。有的身份標(biāo)識(shí)，如數(shù)字證書應(yīng)當(dāng)由權(quán)威機(jī)構(gòu)頒發(fā)，以便對(duì)標(biāo)識(shí)進(jìn)行驗(yàn)真，或在出現(xiàn)爭(zhēng)執(zhí)時(shí)提供仲裁。88案例思考：1.在用戶對(duì)信息資源的訪問過程中，用戶密碼（口令）起到什么作用？2.基于用戶口令的身份認(rèn)證面臨哪些安全威脅？如何確保口令認(rèn)證的安全性？3.除了使用口令，人們還可以采用哪些方法標(biāo)識(shí)身份，進(jìn)行身份鑒別？992.基于口令的用戶身份認(rèn)證安全性分析用戶U認(rèn)證請(qǐng)求認(rèn)證系統(tǒng)S用戶ID密碼admin123456chenbo456789…………用戶信息安全意識(shí)不高；口令質(zhì)量不高。攻擊者運(yùn)用社會(huì)工程學(xué)，騙取口令。偽造的登錄界面；在輸入密碼時(shí)被鍵盤記錄器等盜號(hào)程序所記錄口令在傳輸過程中被攻擊者嗅探到?？诹钤跀?shù)據(jù)庫中沒有加密保存；數(shù)據(jù)庫文件沒有訪問控制1010來看看大家最經(jīng)常使用的密碼是什么吧2.基于口令的用戶身份認(rèn)證安全性分析1111使用最多的密碼長(zhǎng)度是8位竟然不要求長(zhǎng)度2.基于口令的用戶身份認(rèn)證安全性分析1212如何提高口令質(zhì)量？對(duì)于用戶增大口令空間。計(jì)算口令空間的公式：S=AM選用無規(guī)律的口令多個(gè)口令用工具生成口令對(duì)于網(wǎng)站登錄時(shí)間限制。限制登錄次數(shù)。盡量減少會(huì)話透露的信息。增加認(rèn)證的信息量。2.基于口令的用戶身份認(rèn)證安全性分析1313CSDN杯最強(qiáng)密碼大決選總冠軍：ppnn13%dkstFeb.1st?？床欢?？密碼解析：娉娉裊裊十三余，豆蔻梢頭二月初。csbt34.ydhl12s密碼解析：池上碧苔三四點(diǎn)，葉底黃鸝一兩聲1414CSDN杯最強(qiáng)密碼大決選(續(xù)1)for_$n(@RenSheng)_$n+="die"密碼解析：人生自古誰無死while(1)Ape1Cry&&Ape2Cry;密碼解析：兩岸猿聲啼不住doWhile(1){LeavesFly();YangtzeRiverFlows();密碼解析：無邊落木蕭蕭下，不盡長(zhǎng)江滾滾來1515CSDN杯最強(qiáng)密碼大決選(續(xù)2)Tree_0f0=sprintf("2_Bird_ff0/a");密碼解析：兩個(gè)黃鸝鳴翠柳CaCO3=CaO+CO2密碼解析：無語1616Windows8圖片密碼Windows8操作系統(tǒng)增加的“圖片密碼”。圖片密碼方便記憶，省去了用戶記憶繁雜口令字符串的過程，且十分便于觸控屏用戶的使用，用戶體驗(yàn)度高；與口令字符串相比，“圖片密碼”不會(huì)出現(xiàn)口令竊取以及口令丟失的安全威脅，安全性較好。17172.基于口令的用戶身份認(rèn)證安全性分析用戶U認(rèn)證請(qǐng)求認(rèn)證系統(tǒng)S用戶ID密碼admin123456chenbo456789…………用戶信息安全意識(shí)不高，口令質(zhì)量不高?？诹钤趥鬏斶^程中被攻擊者嗅探到。鍵盤記錄器視頻攻擊者運(yùn)用社會(huì)工程學(xué)，騙取口令。偽造的登錄界面；在輸入密碼時(shí)被鍵盤記錄器等盜號(hào)程序所記錄口令在數(shù)據(jù)庫中沒有加密保存；數(shù)據(jù)庫文件沒有訪問控制1818保護(hù)輸入口令安全控件實(shí)質(zhì)是一種小程序。由各網(wǎng)站依據(jù)需要自行編寫。當(dāng)該網(wǎng)站的注冊(cè)會(huì)員登錄該網(wǎng)站時(shí)，安全控件發(fā)揮作用，通過對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行加密，防止賬號(hào)密碼被木馬程序或病毒竊取，可以有效防止木馬截取鍵盤記錄。安全控件工作時(shí)，從客戶的登錄一直到注銷，實(shí)時(shí)做到對(duì)網(wǎng)站及客戶終端數(shù)據(jù)流的監(jiān)控。就目前而言，由于安全控件的保護(hù)，客戶的帳號(hào)及密碼還是相對(duì)安全的。要防止偽裝的安全控件。1919保護(hù)輸入口令20202.基于口令的用戶身份認(rèn)證安全性分析用戶U認(rèn)證請(qǐng)求認(rèn)證系統(tǒng)S用戶ID密碼admin123456chenbo456789…………用戶信息安全意識(shí)不高，口令質(zhì)量不高?？诹钤趥鬏斶^程中被攻擊者嗅探到。局域網(wǎng)密碼嗅探視頻攻擊者運(yùn)用社會(huì)工程學(xué)，騙取口令。偽造的登錄界面；在輸入密碼時(shí)被鍵盤記錄器等盜號(hào)程序所記錄口令在數(shù)據(jù)庫中沒有加密保存；數(shù)據(jù)庫文件沒有訪問控制2121使用“驗(yàn)證碼”實(shí)現(xiàn)一次性口令認(rèn)證某客戶端用戶登錄界面上設(shè)置了“驗(yàn)證碼”輸入框，此驗(yàn)證碼是隨機(jī)值。目前，得到廣泛應(yīng)用的驗(yàn)證碼更多的是CAPTCHA(CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart，全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試)，是一種主要區(qū)分用戶是計(jì)算機(jī)和人的自動(dòng)程序。這類驗(yàn)證碼的隨機(jī)性不僅可以防止口令猜測(cè)攻擊，還可以有效防止攻擊者對(duì)某一個(gè)特定注冊(cè)用戶用特定程序進(jìn)行不斷的登陸嘗試，例如防止刷票、惡意注冊(cè)、論壇灌水等。2222使用“驗(yàn)證碼”實(shí)現(xiàn)一次性口令認(rèn)證2323使用“驗(yàn)證碼”實(shí)現(xiàn)一次性口令認(rèn)證2424綁定手機(jī)的動(dòng)態(tài)口令實(shí)現(xiàn)一次性口令認(rèn)證支付寶的“手機(jī)寶令”是一款直接安裝在手機(jī)客戶端上的安全認(rèn)證產(chǎn)品，不需要額外的硬件支持。用戶手機(jī)安裝了“手機(jī)寶令”軟件后，該客戶端軟件與支付寶服務(wù)器按照同樣的算法運(yùn)算，軟件每30秒與服務(wù)器端同步生成一條動(dòng)態(tài)口令。用戶開啟手機(jī)寶令的安全服務(wù)后，在客戶端進(jìn)行修改密碼、支付寶支付等操作時(shí)，除了需要輸入自己的帳號(hào)和口令外，還需要輸入手機(jī)寶令的動(dòng)態(tài)密碼。驗(yàn)證用戶輸入正確之后，用戶才能進(jìn)行下一步操作。2525綁定手機(jī)的動(dòng)態(tài)口令實(shí)現(xiàn)一次性口令認(rèn)證動(dòng)態(tài)口令也可以與手機(jī)號(hào)碼綁定使用，通過向手機(jī)號(hào)碼發(fā)送驗(yàn)證碼來認(rèn)證用戶的身份。支付寶應(yīng)用中，用戶申請(qǐng)了短信校驗(yàn)服務(wù)后，修改賬戶信息、找回密碼、一定額度的賬戶資金變動(dòng)都需要手機(jī)校驗(yàn)碼確認(rèn)。支付寶服務(wù)器會(huì)將動(dòng)態(tài)口令，即手機(jī)校驗(yàn)碼，發(fā)送到用戶賬號(hào)注冊(cè)時(shí)綁定的手機(jī)號(hào)碼上。合法用戶可以通過接收手機(jī)短信，輸入動(dòng)態(tài)口令，完成認(rèn)證。當(dāng)然，如果用戶手機(jī)丟失，其支付寶賬戶將面臨很大安全風(fēng)險(xiǎn)。2626使用動(dòng)態(tài)口令牌實(shí)現(xiàn)一次性口令認(rèn)證動(dòng)態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏，并根據(jù)專門的算法定時(shí)自動(dòng)更新口令的硬件設(shè)備。動(dòng)態(tài)口令牌的使用簡(jiǎn)單方便，動(dòng)態(tài)口令定時(shí)更新，用戶只要根據(jù)系統(tǒng)的提示，輸入動(dòng)態(tài)口令牌上當(dāng)前顯示的口令即可。支付寶和中國(guó)聯(lián)通聯(lián)合推出的“寶令”就是一款動(dòng)態(tài)口令卡的產(chǎn)品。用戶開啟服務(wù)后，在進(jìn)行付款時(shí)，需要輸入支付密碼以及動(dòng)態(tài)口令，確保賬戶資金更加安全。2727使用USBKey增強(qiáng)認(rèn)證安全性USBKey是一種包含USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。基于USBKey的應(yīng)用包括支付寶的“支付盾”，網(wǎng)上銀行的“U盾”等?！癠盾”是銀行推出的存放客戶證書的安全工具?！癠盾”服務(wù)于網(wǎng)上銀行的數(shù)字認(rèn)證和電子簽名需求。它的工作原理和認(rèn)證方式同“支付盾”類似?！爸Ц抖堋笔侵Ц秾毻瞥龅陌踩a(chǎn)品。用戶登錄支付寶進(jìn)行在線支付時(shí)，需要插入包含用戶數(shù)字證書的支付盾，服務(wù)器驗(yàn)證數(shù)字證書的真實(shí)性之后，用戶才能進(jìn)行支付操作2828使用智能卡增強(qiáng)認(rèn)證安全性智能卡（SmartCard）是一種更為復(fù)雜的憑證。它是一種將具有加密、存儲(chǔ)、處理能力的集成電路芯片嵌裝于塑料基片上而制成的卡片。智能卡一般由微處理器、存儲(chǔ)器等部件構(gòu)成。為防止智能卡遺失或被竊，許多系統(tǒng)需要智能卡和個(gè)人識(shí)別碼PIN同時(shí)使用。2929使用生物特征、生物行為增強(qiáng)認(rèn)證安全性雖然網(wǎng)上銀行廣泛使用的U盾認(rèn)證方式相比于“用戶名+口令”的方式安全性要高，但它仍然有許多缺點(diǎn)，例如需要隨時(shí)攜帶U盾，也容易丟失或被竊。與這兩種認(rèn)證方式相比，利用用戶本身的特征進(jìn)行認(rèn)證，也就基于生物的認(rèn)證技術(shù)（Biometrics），具有無法比擬的優(yōu)點(diǎn)：用戶不必再記憶和設(shè)置密碼，使用更加方便。生物特征認(rèn)證技術(shù)已經(jīng)成為目前公認(rèn)的、最安全和最有效的身份認(rèn)證技術(shù)，將成為IT產(chǎn)業(yè)最為重要的技術(shù)革命。3030使用生物特征、生物行為增強(qiáng)認(rèn)證安全性基于擊鍵特征的身份認(rèn)證是利用一個(gè)人敲擊鍵盤的行為特征進(jìn)行身份認(rèn)證。擊鍵行為特征包括擊鍵間隔、擊鍵持續(xù)時(shí)間、擊鍵位置，甚至擊鍵壓力等。北京微通新成網(wǎng)絡(luò)科技有限公司的“鍵盤芭蕾”就是一款靜態(tài)口令認(rèn)證和擊鍵特征認(rèn)證相結(jié)合的雙因素身份認(rèn)證產(chǎn)品，它不僅會(huì)檢測(cè)用戶輸入的賬號(hào)和密碼是否正確，而且還收集用戶的擊鍵間隔、擊鍵持續(xù)時(shí)間等擊鍵特征。只有用戶的靜態(tài)口令輸入正確且擊鍵特征與系統(tǒng)用戶相符，用戶才能通過身份認(rèn)證。31312.基于口令的用戶身份認(rèn)證安全性分析用戶U認(rèn)證請(qǐng)求認(rèn)證系統(tǒng)S用戶ID密碼admin123456chenbo456789…………用戶信息安全意識(shí)不高，口令質(zhì)量不高?？诹钤趥鬏斶^程中被攻擊者嗅探到。攻擊者運(yùn)用社會(huì)工程學(xué)，騙取口令。偽造的登錄界面；在輸入密碼時(shí)被鍵盤記錄器等盜號(hào)程序所記錄口令在數(shù)據(jù)庫中沒有加密保存；數(shù)據(jù)庫文件沒有訪問控制3232對(duì)口令數(shù)據(jù)庫等重要資源的防護(hù)資源用戶身份標(biāo)識(shí)與鑒別訪問授權(quán)與控制日志記錄與審計(jì)加密、哈希等管理等安全措施33332.基于口令的用戶身份認(rèn)證安全性分析用戶U認(rèn)證請(qǐng)求認(rèn)證系統(tǒng)S用戶ID密碼admin123456chenbo456789…………用戶信息安全意識(shí)不高，口令質(zhì)量不高。口令在傳輸過程中被攻擊者嗅探到。攻擊者運(yùn)用社會(huì)工程學(xué)，騙取口令。偽造的登錄界面；在輸入密碼時(shí)被鍵盤記錄器等盜號(hào)程序所記錄口令在數(shù)據(jù)庫中沒有加密保存；數(shù)據(jù)庫文件沒有訪問控制3434案例思考：1.在用戶對(duì)信息資源的訪問過程中，用戶密碼（口令）起到什么作用？2.基于用戶口令的身份認(rèn)證面臨哪些安全威脅？如何確?？诹钫J(rèn)證的安全性？3.除了使用口令，人們還可以采用哪些方法標(biāo)識(shí)身份，進(jìn)行身份鑒別？3535案例思考：1.在用戶對(duì)信息資源的訪問過程中，用戶密碼（口令）起到什么作用？2.基于用