身份與訪問安全-身份認證課件

14三月2024身份與訪問安全——身份認證2011年12月21日上午，中國最大的開發(fā)者技術社區(qū)CSDN網(wǎng)站遭到黑客攻擊，600余萬用戶資料遭泄露。此后陸續(xù)幾天，天涯、人人、當當、凡客、卓越、開心、多玩等多家網(wǎng)站，相繼被曝出密碼遭網(wǎng)上公開泄露。目前，網(wǎng)上公開暴露的網(wǎng)絡賬戶密碼已超1億個，包含用戶密碼的數(shù)據(jù)包仍然可以在網(wǎng)上找到下載。國內(nèi)最大的漏洞報告平臺——烏云（）上還在不斷有用戶密碼泄漏事件公布。案例：國內(nèi)著名網(wǎng)站用戶密碼泄露事件22案例思考：1.在用戶對信息資源的訪問過程中，用戶密碼（口令）起到什么作用？2.基于用戶口令的身份認證面臨哪些安全威脅？如何確?？诹钫J證的安全性？3.除了使用口令，人們還可以采用哪些方法標識身份，進行身份鑒別？331.身份認證的概念用戶密碼，嚴格地稱為用戶口令，實際上在人們的信息資源活動中起到標識用戶身份，并依此進行身份認證的作用，防止非授權訪問。身份認證（Authentication）是證實實體（Entity）對象的數(shù)字身份與物理身份是否一致的過程。身份認證技術能夠有效防止信息資源被非授權使用，保障信息資源的安全。這里的實體可以是用戶，也可以是主機系統(tǒng)。441.身份認證的概念在計算機系統(tǒng)中，身份（Identity）是實體的一種計算機表達，計算機中的每一項事務是由一個或多個唯一確定的實體參與完成的，而身份可以用來唯一確定一個實體。根據(jù)實體的不同，身份認證通?？煞譃橛脩襞c主機間的認證和主機與主機之間的認證，不過實質(zhì)上，主機與主機之間的認證仍然是用戶與主機系統(tǒng)的認證。551.身份認證的概念身份認證分為兩個過程：標識與鑒別。標識（Identification）就是系統(tǒng)要標識實體的身份，并為每個實體取一個系統(tǒng)可以識別的內(nèi)部名稱——標識符ID。識別主體真實身份的過程稱為鑒別（Authentication），也有稱作認證或驗證。戶名或賬戶就可以作為身份標識。為了對主體身份的正確性進行驗證，主體往往還需要提供進一步的憑證，例如密碼（口令）、令牌或是生物特征。系統(tǒng)會將主體提供的賬號和憑證這兩類身份信息與先前已存儲的該主體的身份信息進行比較，如果相匹配，那么主體就通過了身份鑒別?？紤]到身份鑒別是身份認證的重要組成部分，鑒別與標識也緊密聯(lián)系，所以后面不再對認證和鑒別做區(qū)分。661.身份認證的概念創(chuàng)建和發(fā)布的身份信息必須具有3個特性：1）唯一性。標識符必須是唯一的且不能被偽造，防止一個實體冒充另一個實體。不同的計算機系統(tǒng)、不同的應用中，可以使用不同的方式來標識實體的身份：可以是一個唯一的字符串，可以是一張數(shù)字證書（類似于現(xiàn)實生活中的居民身份證），也可以是主機IP地址或MAC地址（MediaAccessControl，媒介訪問控制）。例如：Windows系統(tǒng)的登錄用戶名和口令標識了一個用戶的身份；打開Office文檔的口令標識了用戶的身份；校園網(wǎng)用戶登錄學校圖書館資源時根據(jù)用戶的IP地址確認用戶主機的合法身份等。771.身份認證的概念創(chuàng)建和發(fā)布的身份信息必須具有3個特性：2）非描述性。任何身份的標識都不能表明賬戶的目的，例如Administrator這樣的身份標識對于攻擊者太具有誘惑力了。3）權威簽發(fā)。有的身份標識，如數(shù)字證書應當由權威機構(gòu)頒發(fā)，以便對標識進行驗真，或在出現(xiàn)爭執(zhí)時提供仲裁。88案例思考：1.在用戶對信息資源的訪問過程中，用戶密碼（口令）起到什么作用？2.基于用戶口令的身份認證面臨哪些安全威脅？如何確?？诹钫J證的安全性？3.除了使用口令，人們還可以采用哪些方法標識身份，進行身份鑒別？992.基于口令的用戶身份認證安全性分析用戶U認證請求認證系統(tǒng)S用戶ID密碼admin123456chenbo456789…………用戶信息安全意識不高；口令質(zhì)量不高。攻擊者運用社會工程學，騙取口令。偽造的登錄界面；在輸入密碼時被鍵盤記錄器等盜號程序所記錄口令在傳輸過程中被攻擊者嗅探到?？诹钤跀?shù)據(jù)庫中沒有加密保存；數(shù)據(jù)庫文件沒有訪問控制1010來看看大家最經(jīng)常使用的密碼是什么吧2.基于口令的用戶身份認證安全性分析1111使用最多的密碼長度是8位竟然不要求長度2.基于口令的用戶身份認證安全性分析1212如何提高口令質(zhì)量？對于用戶增大口令空間。計算口令空間的公式：S=AM選用無規(guī)律的口令多個口令用工具生成口令對于網(wǎng)站登錄時間限制。限制登錄次數(shù)。盡量減少會話透露的信息。增加認證的信息量。2.基于口令的用戶身份認證安全性分析1313CSDN杯最強密碼大決選總冠軍：ppnn13%dkstFeb.1st。看不懂？密碼解析：娉娉裊裊十三余，豆蔻梢頭二月初。csbt34.ydhl12s密碼解析：池上碧苔三四點，葉底黃鸝一兩聲1414CSDN杯最強密碼大決選(續(xù)1)for_$n(@RenSheng)_$n+="die"密碼解析：人生自古誰無死while(1)Ape1Cry&&Ape2Cry;密碼解析：兩岸猿聲啼不住doWhile(1){LeavesFly();YangtzeRiverFlows();密碼解析：無邊落木蕭蕭下，不盡長江滾滾來1515CSDN杯最強密碼大決選(續(xù)2)Tree_0f0=sprintf("2_Bird_ff0/a");密碼解析：兩個黃鸝鳴翠柳CaCO3=CaO+CO2密碼解析：無語1616Windows8圖片密碼Windows8操作系統(tǒng)增加的“圖片密碼”。圖片密碼方便記憶，省去了用戶記憶繁雜口令字符串的過程，且十分便于觸控屏用戶的使用，用戶體驗度高；與口令字符串相比，“圖片密碼”不會出現(xiàn)口令竊取以及口令丟失的安全威脅，安全性較好。17172.基于口令的用戶身份認證安全性分析用戶U認證請求認證系統(tǒng)S用戶ID密碼admin123456chenbo456789…………用戶信息安全意識不高，口令質(zhì)量不高?？诹钤趥鬏斶^程中被攻擊者嗅探到。鍵盤記錄器視頻攻擊者運用社會工程學，騙取口令。偽造的登錄界面；在輸入密碼時被鍵盤記錄器等盜號程序所記錄口令在數(shù)據(jù)庫中沒有加密保存；數(shù)據(jù)庫文件沒有訪問控制1818保護輸入口令安全控件實質(zhì)是一種小程序。由各網(wǎng)站依據(jù)需要自行編寫。當該網(wǎng)站的注冊會員登錄該網(wǎng)站時，安全控件發(fā)揮作用，通過對關鍵數(shù)據(jù)進行加密，防止賬號密碼被木馬程序或病毒竊取，可以有效防止木馬截取鍵盤記錄。安全控件工作時，從客戶的登錄一直到注銷，實時做到對網(wǎng)站及客戶終端數(shù)據(jù)流的監(jiān)控。就目前而言，由于安全控件的保護，客戶的帳號及密碼還是相對安全的。要防止偽裝的安全控件。1919保護輸入口令20202.基于口令的用戶身份認證安全性分析用戶U認證請求認證系統(tǒng)S用戶ID密碼admin123456chenbo456789…………用戶信息安全意識不高，口令質(zhì)量不高。口令在傳輸過程中被攻擊者嗅探到。局域網(wǎng)密碼嗅探視頻攻擊者運用社會工程學，騙取口令。偽造的登錄界面；在輸入密碼時被鍵盤記錄器等盜號程序所記錄口令在數(shù)據(jù)庫中沒有加密保存；數(shù)據(jù)庫文件沒有訪問控制2121使用“驗證碼”實現(xiàn)一次性口令認證某客戶端用戶登錄界面上設置了“驗證碼”輸入框，此驗證碼是隨機值。目前，得到廣泛應用的驗證碼更多的是CAPTCHA(CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart，全自動區(qū)分計算機和人類的圖靈測試)，是一種主要區(qū)分用戶是計算機和人的自動程序。這類驗證碼的隨機性不僅可以防止口令猜測攻擊，還可以有效防止攻擊者對某一個特定注冊用戶用特定程序進行不斷的登陸嘗試，例如防止刷票、惡意注冊、論壇灌水等。2222使用“驗證碼”實現(xiàn)一次性口令認證2323使用“驗證碼”實現(xiàn)一次性口令認證2424綁定手機的動態(tài)口令實現(xiàn)一次性口令認證支付寶的“手機寶令”是一款直接安裝在手機客戶端上的安全認證產(chǎn)品，不需要額外的硬件支持。用戶手機安裝了“手機寶令”軟件后，該客戶端軟件與支付寶服務器按照同樣的算法運算，軟件每30秒與服務器端同步生成一條動態(tài)口令。用戶開啟手機寶令的安全服務后，在客戶端進行修改密碼、支付寶支付等操作時，除了需要輸入自己的帳號和口令外，還需要輸入手機寶令的動態(tài)密碼。驗證用戶輸入正確之后，用戶才能進行下一步操作。2525綁定手機的動態(tài)口令實現(xiàn)一次性口令認證動態(tài)口令也可以與手機號碼綁定使用，通過向手機號碼發(fā)送驗證碼來認證用戶的身份。支付寶應用中，用戶申請了短信校驗服務后，修改賬戶信息、找回密碼、一定額度的賬戶資金變動都需要手機校驗碼確認。支付寶服務器會將動態(tài)口令，即手機校驗碼，發(fā)送到用戶賬號注冊時綁定的手機號碼上。合法用戶可以通過接收手機短信，輸入動態(tài)口令，完成認證。當然，如果用戶手機丟失，其支付寶賬戶將面臨很大安全風險。2626使用動態(tài)口令牌實現(xiàn)一次性口令認證動態(tài)口令牌是一種內(nèi)置電源、密碼生成芯片和顯示屏，并根據(jù)專門的算法定時自動更新口令的硬件設備。動態(tài)口令牌的使用簡單方便，動態(tài)口令定時更新，用戶只要根據(jù)系統(tǒng)的提示，輸入動態(tài)口令牌上當前顯示的口令即可。支付寶和中國聯(lián)通聯(lián)合推出的“寶令”就是一款動態(tài)口令卡的產(chǎn)品。用戶開啟服務后，在進行付款時，需要輸入支付密碼以及動態(tài)口令，確保賬戶資金更加安全。2727使用USBKey增強認證安全性USBKey是一種包含USB接口的硬件設備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證?；赨SBKey的應用包括支付寶的“支付盾”，網(wǎng)上銀行的“U盾”等?！癠盾”是銀行推出的存放客戶證書的安全工具?！癠盾”服務于網(wǎng)上銀行的數(shù)字認證和電子簽名需求。它的工作原理和認證方式同“支付盾”類似?！爸Ц抖堋笔侵Ц秾毻瞥龅陌踩a(chǎn)品。用戶登錄支付寶進行在線支付時，需要插入包含用戶數(shù)字證書的支付盾，服務器驗證數(shù)字證書的真實性之后，用戶才能進行支付操作2828使用智能卡增強認證安全性智能卡（SmartCard）是一種更為復雜的憑證。它是一種將具有加密、存儲、處理能力的集成電路芯片嵌裝于塑料基片上而制成的卡片。智能卡一般由微處理器、存儲器等部件構(gòu)成。為防止智能卡遺失或被竊，許多系統(tǒng)需要智能卡和個人識別碼PIN同時使用。2929使用生物特征、生物行為增強認證安全性雖然網(wǎng)上銀行廣泛使用的U盾認證方式相比于“用戶名+口令”的方式安全性要高，但它仍然有許多缺點，例如需要隨時攜帶U盾，也容易丟失或被竊。與這兩種認證方式相比，利用用戶本身的特征進行認證，也就基于生物的認證技術（Biometrics），具有無法比擬的優(yōu)點：用戶不必再記憶和設置密碼，使用更加方便。生物特征認證技術已經(jīng)成為目前公認的、最安全和最有效的身份認證技術，將成為IT產(chǎn)業(yè)最為重要的技術革命。3030使用生物特征、生物行為增強認證安全性基于擊鍵特征的身份認證是利用一個人敲擊鍵盤的行為特征進行身份認證。擊鍵行為特征包括擊鍵間隔、擊鍵持續(xù)時間、擊鍵位置，甚至擊鍵壓力等。北京微通新成網(wǎng)絡科技有限公司的“鍵盤芭蕾”就是一款靜態(tài)口令認證和擊鍵特征認證相結(jié)合的雙因素身份認證產(chǎn)品，它不僅會檢測用戶輸入的賬號和密碼是否正確，而且還收集用戶的擊鍵間隔、擊鍵持續(xù)時間等擊鍵特征。只有用戶的靜態(tài)口令輸入正確且擊鍵特征與系統(tǒng)用戶相符，用戶才能通過身份認證。31312.基于口令的用戶身份認證安全性分析用戶U認證請求認證系統(tǒng)S用戶ID密碼admin123456chenbo456789…………用戶信息安全意識不高，口令質(zhì)量不高?？诹钤趥鬏斶^程中被攻擊者嗅探到。攻擊者運用社會工程學，騙取口令。偽造的登錄界面；在輸入密碼時被鍵盤記錄器等盜號程序所記錄口令在數(shù)據(jù)庫中沒有加密保存；數(shù)據(jù)庫文件沒有訪問控制3232對口令數(shù)據(jù)庫等重要資源的防護資源用戶身份標識與鑒別訪問授權與控制日志記錄與審計加密、哈希等管理等安全措施33332.基于口令的用戶身份認證安全性分析用戶U認證請求認證系統(tǒng)S用戶ID密碼admin123456chenbo456789…………用戶信息安全意識不高，口令質(zhì)量不高。口令在傳輸過程中被攻擊者嗅探到。攻擊者運用社會工程學，騙取口令。偽造的登錄界面；在輸入密碼時被鍵盤記錄器等盜號程序所記錄口令在數(shù)據(jù)庫中沒有加密保存；數(shù)據(jù)庫文件沒有訪問控制3434案例思考：1.在用戶對信息資源的訪問過程中，用戶密碼（口令）起到什么作用？2.基于用戶口令的身份認證面臨哪些安全威脅？如何確?？诹钫J證的安全性？3.除了使用口令，人們還可以采用哪些方法標識身份，進行身份鑒別？3535案例思考：1.在用戶對信息資源的訪問過程中，用戶密碼（口令）起到什么作用？2.基于用