4-1身份與訪問安全——身份認(rèn)證ppt課件

1、身份與訪問平安基于口令的認(rèn)證案例與分析南京師范大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院陳 波2021年12月21日上午，中國最大的開發(fā)者技術(shù)社區(qū)CSDN網(wǎng)站遭到黑客攻擊，600余萬用戶資料遭泄露。以后陸續(xù)幾天，天涯、人人、當(dāng)當(dāng)、凡客、杰出、開心、多玩等多家網(wǎng)站，相繼被曝出密碼遭網(wǎng)上公開泄露。目前，網(wǎng)上公開暴露的網(wǎng)絡(luò)賬戶密碼已超1億個(gè)，包含用戶密碼的數(shù)據(jù)包依然可以在網(wǎng)上找到下載。國內(nèi)最大的破綻報(bào)告平臺(tái)烏云上還在不斷有用戶密碼走漏事件公布。案例：國內(nèi)著名網(wǎng)站用戶密碼泄露事件案例思索：1. 在用戶對(duì)信息資源的訪問過程中，用戶密碼口令起到什么作用？2. 基于用戶口令的身份認(rèn)證面臨哪些平安要挾？如何確?？诹钫J(rèn)證的平安性

2、？3. 除了運(yùn)用口令，人們還可以采用哪些方法標(biāo)識(shí)身份，進(jìn)展身份鑒別？1. 身份認(rèn)證的概念用戶密碼，嚴(yán)厲地稱為用戶口令，實(shí)踐上在人們的信息資源活動(dòng)中起到標(biāo)識(shí)用戶身份，并依此進(jìn)展身份認(rèn)證的作用，防止非授權(quán)訪問。身份認(rèn)證Authentication是證明實(shí)體Entity對(duì)象的數(shù)字身份與物理身份能否一致的過程。身份認(rèn)證技術(shù)可以有效防止信息資源被非授權(quán)運(yùn)用，保證信息資源的平安。這里的實(shí)體可以是用戶，也可以是主機(jī)系統(tǒng)。1. 身份認(rèn)證的概念在計(jì)算機(jī)系統(tǒng)中，身份Identity是實(shí)體的一種計(jì)算機(jī)表達(dá)，計(jì)算機(jī)中的每一項(xiàng)事務(wù)是由一個(gè)或多個(gè)獨(dú)一確定的實(shí)體參與完成的，而身份可以用來獨(dú)一確定一個(gè)實(shí)體。根據(jù)實(shí)體的不同，身

3、份認(rèn)證通?？煞譃橛脩襞c主機(jī)間的認(rèn)證和主機(jī)與主機(jī)之間的認(rèn)證，不過本質(zhì)上，主機(jī)與主機(jī)之間的認(rèn)證依然是用戶與主機(jī)系統(tǒng)的認(rèn)證。1. 身份認(rèn)證的概念身份認(rèn)證分為兩個(gè)過程：標(biāo)識(shí)與鑒別。標(biāo)識(shí)Identification就是系統(tǒng)要標(biāo)識(shí)實(shí)體的身份，并為每個(gè)實(shí)體取一個(gè)系統(tǒng)可以識(shí)別的內(nèi)部稱號(hào)標(biāo)識(shí)符ID。識(shí)別主體真實(shí)身份的過程稱為鑒別Authentication，也有稱作認(rèn)證或驗(yàn)證。戶名或賬戶就可以作為身份標(biāo)識(shí)。為了對(duì)主體身份的正確性進(jìn)展驗(yàn)證，主體往往還需求提供進(jìn)一步的憑證，例如密碼口令、令牌或是生物特征。系統(tǒng)會(huì)將主體提供的賬號(hào)和憑證這兩類身份信息與先前已存儲(chǔ)的該主體的身份信息進(jìn)展比較，假設(shè)相匹配，那么主體就經(jīng)過了身

4、份鑒別。思索到身份鑒別是身份認(rèn)證的重要組成部分，鑒別與標(biāo)識(shí)也嚴(yán)密聯(lián)絡(luò)，所以后面不再對(duì)認(rèn)證和鑒別做區(qū)分。1. 身份認(rèn)證的概念創(chuàng)建和發(fā)布的身份信息必需具有3個(gè)特性：1獨(dú)一性。標(biāo)識(shí)符必需是獨(dú)一的且不能被偽造，防止一個(gè)實(shí)體冒充另一個(gè)實(shí)體。不同的計(jì)算機(jī)系統(tǒng)、不同的運(yùn)用中，可以運(yùn)用不同的方式來標(biāo)識(shí)實(shí)體的身份：可以是一個(gè)獨(dú)一的字符串，可以是一張數(shù)字證書類似于現(xiàn)實(shí)生活中的居民身份證，也可以是主機(jī)IP地址或MAC地址Media Access Control，媒介訪問控制。例如：Windows系統(tǒng)的登錄用戶名和口令標(biāo)識(shí)了一個(gè)用戶的身份；翻開Office文檔的口令標(biāo)識(shí)了用戶的身份；校園網(wǎng)用戶登錄學(xué)校圖書館資源時(shí)根據(jù)

5、用戶的IP地址確認(rèn)用戶主機(jī)的合法身份等。1. 身份認(rèn)證的概念創(chuàng)建和發(fā)布的身份信息必需具有3個(gè)特性：2非描畫性。任何身份的標(biāo)識(shí)都不能闡明賬戶的目的，例如Administrator這樣的身份標(biāo)識(shí)對(duì)于攻擊者太具有誘惑力了。3權(quán)威簽發(fā)。有的身份標(biāo)識(shí)，如數(shù)字證書該當(dāng)由權(quán)威機(jī)構(gòu)頒發(fā)，以便對(duì)標(biāo)識(shí)進(jìn)展驗(yàn)真，或在出現(xiàn)爭論時(shí)提供仲裁。案例思索：1. 在用戶對(duì)信息資源的訪問過程中，用戶密碼口令起到什么作用？2. 基于用戶口令的身份認(rèn)證面臨哪些平安要挾？如何確?？诹钫J(rèn)證的平安性？3. 除了運(yùn)用口令，人們還可以采用哪些方法標(biāo)識(shí)身份，進(jìn)展身份鑒別？2.基于口令的用戶身份認(rèn)證平安性分析用戶U認(rèn)證懇求認(rèn)證系統(tǒng)S用戶ID 密碼

6、admin 123456chenbo 456789 用戶信息平安認(rèn)識(shí)不高；口令質(zhì)量不高。攻擊者運(yùn)用社會(huì)工程學(xué)，騙取口令。偽造的登錄界面；在輸入密碼時(shí)被鍵盤記錄器等盜號(hào)程序所記錄口令在傳輸過程中被攻擊者嗅探到?？诹钤跀?shù)據(jù)庫中沒有加密保管；數(shù)據(jù)庫文件沒有訪問控制來看看大家最經(jīng)常運(yùn)用的密碼是什么吧2.基于口令的用戶身份認(rèn)證平安性分析運(yùn)用最多的密碼長度是8位竟然不要求長度2.基于口令的用戶身份認(rèn)證平安性分析如何提高口令質(zhì)量？對(duì)于用戶增大口令空間。計(jì)算口令空間的公式：S = A M選用無規(guī)律的口令多個(gè)口令用工具生成口令對(duì)于網(wǎng)站登錄時(shí)間限制。限制登錄次數(shù)。盡量減少會(huì)話泄漏的信息。添加認(rèn)證的信息量。2.基于

7、口令的用戶身份認(rèn)證平安性分析CSDN 杯最強(qiáng)密碼大決選總冠軍：ppnn13%dkstFeb.1st?？床欢?？密碼解析：娉娉裊裊十三余，豆蔻梢頭二月初。csbt34.ydhl12s密碼解析：池上碧苔三四點(diǎn)，葉底黃鸝一兩聲CSDN 杯最強(qiáng)密碼大決選(續(xù)1)for_$n(RenSheng)_$n+=die密碼解析：人生自古誰無死while(1)Ape1Cry&Ape2Cry;密碼解析：兩岸猿聲啼不住doWhile(1)LeavesFly();YangtzeRiverFlows();密碼解析：無邊落木蕭蕭下，不盡長江滾滾來CSDN 杯最強(qiáng)密碼大決選(續(xù)2)Tree_0f0=sprintf(2_Bird

8、_ff0/a); 密碼解析：兩個(gè)黃鸝鳴翠柳CaCO3=CaO+CO2密碼解析：無語Windows 8 圖片密碼Windows 8操作系統(tǒng)添加的“圖片密碼。圖片密碼方便記憶，省去了用戶記憶繁雜口令字符串的過程，且非常便于觸控屏用戶的運(yùn)用，用戶體驗(yàn)度高；與口令字符串相比，“圖片密碼不會(huì)出現(xiàn)口令竊取以及口令喪失的平安要挾，平安性較好。2.基于口令的用戶身份認(rèn)證平安性分析用戶U認(rèn)證懇求認(rèn)證系統(tǒng)S用戶ID 密碼admin 123456chenbo 456789 用戶信息平安認(rèn)識(shí)不高，口令質(zhì)量不高。口令在傳輸過程中被攻擊者嗅探到。鍵盤記錄器視頻攻擊者運(yùn)用社會(huì)工程學(xué)，騙取口令。偽造的登錄界面；在輸入密碼時(shí)被

9、鍵盤記錄器等盜號(hào)程序所記錄口令在數(shù)據(jù)庫中沒有加密保管；數(shù)據(jù)庫文件沒有訪問控制維護(hù)輸入口令平安控件本質(zhì)是一種小程序。由各網(wǎng)站根據(jù)需求自行編寫。當(dāng)該網(wǎng)站的注冊(cè)會(huì)員登錄該網(wǎng)站時(shí)，平安控件發(fā)揚(yáng)作用，經(jīng)過對(duì)關(guān)鍵數(shù)據(jù)進(jìn)展加密，防止賬號(hào)密碼被木馬程序或病毒竊取，可以有效防止木馬截取鍵盤記錄。平安控件任務(wù)時(shí)，從客戶的登錄不斷到注銷，實(shí)時(shí)做到對(duì)網(wǎng)站及客戶終端數(shù)據(jù)流的監(jiān)控。就目前而言，由于平安控件的維護(hù)，客戶的帳號(hào)及密碼還是相對(duì)平安的。要防止偽裝的平安控件。維護(hù)輸入口令2.基于口令的用戶身份認(rèn)證平安性分析用戶U認(rèn)證懇求認(rèn)證系統(tǒng)S用戶ID 密碼admin 123456chenbo 456789 用戶信息平安認(rèn)識(shí)不高

10、，口令質(zhì)量不高。口令在傳輸過程中被攻擊者嗅探到。局域網(wǎng)密碼嗅探視頻攻擊者運(yùn)用社會(huì)工程學(xué)，騙取口令。偽造的登錄界面；在輸入密碼時(shí)被鍵盤記錄器等盜號(hào)程序所記錄口令在數(shù)據(jù)庫中沒有加密保管；數(shù)據(jù)庫文件沒有訪問控制運(yùn)用“驗(yàn)證碼實(shí)現(xiàn)一次性口令認(rèn)證某客戶端用戶登錄界面上設(shè)置了“驗(yàn)證碼輸入框，此驗(yàn)證碼是隨機(jī)值。目前，得到廣泛運(yùn)用的驗(yàn)證碼更多的是CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart，全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試)，是一種主要區(qū)分用戶是計(jì)算機(jī)和人的自動(dòng)程序。這類驗(yàn)證碼的隨機(jī)性不僅可以

11、防止口令猜測(cè)攻擊，還可以有效防止攻擊者對(duì)某一個(gè)特定注冊(cè)用戶用特定程序進(jìn)展不斷的登陸嘗試，例如防止刷票、惡意注冊(cè)、論壇灌水等。運(yùn)用“驗(yàn)證碼實(shí)現(xiàn)一次性口令認(rèn)證運(yùn)用“驗(yàn)證碼實(shí)現(xiàn)一次性口令認(rèn)證綁定手機(jī)的動(dòng)態(tài)口令實(shí)現(xiàn)一次性口令認(rèn)證支付寶的“手機(jī)寶令是一款直接安裝在手機(jī)客戶端上的平安認(rèn)證產(chǎn)品，不需求額外的硬件支持。用戶手機(jī)安裝了“手機(jī)寶令軟件后，該客戶端軟件與支付寶效力器按照同樣的算法運(yùn)算，軟件每30秒與效力器端同步生成一條動(dòng)態(tài)口令。用戶開啟手機(jī)寶令的平安效力后，在客戶端進(jìn)展修正密碼、支付寶支付等操作時(shí)，除了需求輸入本人的帳號(hào)和口令外，還需求輸入手機(jī)寶令的動(dòng)態(tài)密碼。驗(yàn)證用戶輸入正確之后，用戶才干進(jìn)展下一步

12、操作。綁定手機(jī)的動(dòng)態(tài)口令實(shí)現(xiàn)一次性口令認(rèn)證動(dòng)態(tài)口令也可以與手機(jī)號(hào)碼綁定運(yùn)用，經(jīng)過向手機(jī)號(hào)碼發(fā)送驗(yàn)證碼來認(rèn)證用戶的身份。支付寶運(yùn)用中，用戶懇求了短信校驗(yàn)效力后，修正賬戶信息、找回密碼、一定額度的賬戶資金變動(dòng)都需求手機(jī)校驗(yàn)碼確認(rèn)。支付寶效力器會(huì)將動(dòng)態(tài)口令，即手機(jī)校驗(yàn)碼，發(fā)送到用戶賬號(hào)注冊(cè)時(shí)綁定的手機(jī)號(hào)碼上。合法用戶可以經(jīng)過接納手機(jī)短信，輸入動(dòng)態(tài)口令，完成認(rèn)證。當(dāng)然，假設(shè)用戶手機(jī)喪失，其支付寶賬戶將面臨很大平安風(fēng)險(xiǎn)。運(yùn)用動(dòng)態(tài)口令牌實(shí)現(xiàn)一次性口令認(rèn)證動(dòng)態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏，并根據(jù)專門的算法定時(shí)自動(dòng)更新口令的硬件設(shè)備。動(dòng)態(tài)口令牌的運(yùn)用簡一方便，動(dòng)態(tài)口令定時(shí)更新，用戶只需根據(jù)系統(tǒng)的

13、提示，輸入動(dòng)態(tài)口令牌上當(dāng)前顯示的口令即可。支付寶和中國聯(lián)通結(jié)合推出的“寶令就是一款動(dòng)態(tài)口令卡的產(chǎn)品。用戶開啟效力后，在進(jìn)展付款時(shí)，需求輸入支付密碼以及動(dòng)態(tài)口令，確保賬戶資金更加平安。運(yùn)用USB Key加強(qiáng)認(rèn)證平安性USB Key是一種包含USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證?；赨SB Key的運(yùn)用包括支付寶的“支付盾，網(wǎng)上銀行的“U盾等?！癠盾是銀行推出的存放客戶證書的平安工具?！癠盾效力于網(wǎng)上銀行的數(shù)字認(rèn)證和電子簽名需求。它的任務(wù)原理和認(rèn)證方式同“支付盾類似。“支付盾是支付寶推出的平安產(chǎn)品。用戶登

14、錄支付寶進(jìn)展在線支付時(shí)，需求插入包含用戶數(shù)字證書的支付盾，效力器驗(yàn)證數(shù)字證書的真實(shí)性之后，用戶才干進(jìn)展支付操作運(yùn)用智能卡加強(qiáng)認(rèn)證平安性智能卡Smart Card是一種更為復(fù)雜的憑證。它是一種將具有加密、存儲(chǔ)、處置才干的集成電路芯片嵌裝于塑料基片上而制成的卡片。智能卡普通由微處置器、存儲(chǔ)器等部件構(gòu)成。為防止智能卡遺失或被竊，許多系統(tǒng)需求智能卡和個(gè)人識(shí)別碼PIN同時(shí)運(yùn)用。運(yùn)用生物特征、生物行為加強(qiáng)認(rèn)證平安性雖然網(wǎng)上銀行廣泛運(yùn)用的U盾認(rèn)證方式相比于“用戶名+口令的方式平安性要高，但它依然有許多缺陷，例如需求隨時(shí)攜帶U盾，也容易喪失或被竊。與這兩種認(rèn)證方式相比，利用用戶本身的特征進(jìn)展認(rèn)證，也就基于生物

15、的認(rèn)證技術(shù)Biometrics，具有無法比較的優(yōu)點(diǎn)：用戶不用再記憶和設(shè)置密碼，運(yùn)用更加方便。生物特征認(rèn)證技術(shù)曾經(jīng)成為目前公認(rèn)的、最平安和最有效的身份認(rèn)證技術(shù)，將成為IT產(chǎn)業(yè)最為重要的技術(shù)革命。運(yùn)用生物特征、生物行為加強(qiáng)認(rèn)證平安性基于擊鍵特征的身份認(rèn)證是利用一個(gè)人敲擊鍵盤的行為特征進(jìn)展身份認(rèn)證。擊鍵行為特征包括擊鍵間隔、擊鍵繼續(xù)時(shí)間、擊鍵位置，甚至擊鍵壓力等。北京微通新成網(wǎng)絡(luò)科技的“鍵盤芭蕾就是一款靜態(tài)口令認(rèn)證和擊鍵特征認(rèn)證相結(jié)合的雙要素身份認(rèn)證產(chǎn)品，它不僅會(huì)檢測(cè)用戶輸入的賬號(hào)和密碼能否正確，而且還搜集用戶的擊鍵間隔、擊鍵繼續(xù)時(shí)間等擊鍵特征。只需用戶的靜態(tài)口令輸入正確且擊鍵特征與系統(tǒng)用戶相符，用

16、戶才干經(jīng)過身份認(rèn)證。2.基于口令的用戶身份認(rèn)證平安性分析用戶U認(rèn)證懇求認(rèn)證系統(tǒng)S用戶ID 密碼admin 123456chenbo 456789 用戶信息平安認(rèn)識(shí)不高，口令質(zhì)量不高?？诹钤趥鬏斶^程中被攻擊者嗅探到。攻擊者運(yùn)用社會(huì)工程學(xué)，騙取口令。偽造的登錄界面；在輸入密碼時(shí)被鍵盤記錄器等盜號(hào)程序所記錄口令在數(shù)據(jù)庫中沒有加密保管；數(shù)據(jù)庫文件沒有訪問控制對(duì)口令數(shù)據(jù)庫等重要資源的防護(hù)資源用戶身份標(biāo)識(shí)與鑒別訪問授權(quán)與控制日志記錄與審計(jì)加密、哈希等管理等平安措施2.基于口令的用戶身份認(rèn)證平安性分析用戶U認(rèn)證懇求認(rèn)證系統(tǒng)S用戶ID 密碼admin 123456chenbo 456789 用戶信息平安認(rèn)識(shí)不

17、高，口令質(zhì)量不高。口令在傳輸過程中被攻擊者嗅探到。攻擊者運(yùn)用社會(huì)工程學(xué)，騙取口令。偽造的登錄界面；在輸入密碼時(shí)被鍵盤記錄器等盜號(hào)程序所記錄口令在數(shù)據(jù)庫中沒有加密保管；數(shù)據(jù)庫文件沒有訪問控制案例思索：1. 在用戶對(duì)信息資源的訪問過程中，用戶密碼口令起到什么作用？2. 基于用戶口令的身份認(rèn)證面臨哪些平安要挾？如何確?？诹钫J(rèn)證的平安性？3. 除了運(yùn)用口令，人們還可以采用哪些方法標(biāo)識(shí)身份，進(jìn)展身份鑒別？案例思索：1. 在用戶對(duì)信息資源的訪問過程中，用戶密碼口令起到什么作用？2. 基于用戶口令的身份認(rèn)證面臨哪些平安要挾？如何確保口令認(rèn)證的平安性？3. 除了運(yùn)用口令，人們還可以采用哪些方法標(biāo)識(shí)身份，進(jìn)展身

18、份鑒別？3. 身份認(rèn)證技術(shù)身份認(rèn)證過程中，需求將主體的賬號(hào)與憑證這兩類身份信息與保管的初始設(shè)定的進(jìn)展比對(duì)，以此斷定主體身份的真實(shí)性。常用的3種憑證信息是：1用戶所知道的What you know，如要求輸入用戶的口令、密鑰或是圖片密碼中記憶的動(dòng)作等；2用戶所擁有的What you have，如USB Key、U盾、智能卡等物理識(shí)別設(shè)備；3用戶本身的特征What you are，如用戶的指紋、聲音、視網(wǎng)膜等生理特征以及擊鍵等行為特征。3. 身份認(rèn)證技術(shù)普通情況下，可以經(jīng)過多個(gè)憑證也有稱多因子來共同鑒別用戶身份的真?zhèn)巍Ｎ覀冊(cè)阢y行ATM機(jī)上取款需求插入銀行卡，同時(shí)需求輸入銀行卡密碼，就是采用了雙因子認(rèn)證。認(rèn)證的因子越多，鑒別真?zhèn)蔚目煽啃跃驮酱?。?dāng)然，在設(shè)計(jì)認(rèn)證機(jī)制時(shí)需求思索認(rèn)證的方便性和性能等綜合要素。本講主要內(nèi)容：1. 在用戶對(duì)信息資源的訪問過程中，用戶密碼口令起到什么作用？1. 身份認(rèn)證的概念2. 基于用戶口令的身份認(rèn)證面臨哪些平安要挾？如何確保口令認(rèn)證的平安性？2. 基于口令的用戶身份認(rèn)證平安性分析3. 除了運(yùn)用口令，人們還可以采用哪些