账号、口令管理方法调查报告.doc

关于用户账户、口令管理方法的调查报告一、引言： 用户名口令是当前最普遍的认证机制，几乎是操作系统、电子邮件、网站登录等通用的认证机制。根据Florencio_：l 研究报告，每个普通用户平均拥有25个配有口令的账号，平均在39个不同网站使用同一口令，平均每天输8次口令。但是当前的口令机制面临了很多问题：网络钓鱼(Phishing)已经成为当前流行的网络诈骗方式，对当前的口令机制形成了重要的威胁 。钓鱼攻击行为同时使用了社会工程学和技术欺骗手段：网络钓鱼者利用欺骗性的电子邮件和伪造的网页(网页与真实的十分类似)，骗取银行客户输入个人账号资料、口令等。对于用户来说，如何正确区分用户登录界面的真伪是一件很困难的事情。另外一种特殊钓鱼攻击称为网址嫁接(Pharming)，通过修改地址映射将用户引导到钓鱼网站上去。同时掌握多个复杂的口令给用户带来记忆困难和输入困难两个问题。为综合多方优势以得出安全合用的口令策略，我做了以下关于用户账户、口令管理方法的调查报告。二、调查人员：陈丹妮（信管1201班 12242002）三、调查时间及地点： 2013年9月8号、图书馆四、调查方式： 个人上网查询、查阅图书馆期刊资料五、调查结果及分析： 1.以大唐黑龙江新能源开发有限公司为例，其信息系统账号、口令管理办法如下： 【账号的申请】（1）只有授权用户才可以申请账号；（2）申请账号前应该接受适当的培训，以确保能够正常的操作，避免对系统安全造成隐患；（3）账号相应的权限应该以满足用户需要为原则，不得授予与用户职责无关的权限；（4）系统应当严格限制开设公用账号，一般情况下公用账号不得具有访问保密信息和对系统写的权限；（5）匿名账号只被允许访问系统中可公开的资源，不得访问任何内部公开以上保密等级的资源且匿名账号对系统的访问必须有详细的记录。 【口令的设立】（1）账号口令必须是具有足够的长度和复杂度，使口令难于被猜测；（2）账号口令应定期进行修改；（3）新口令与旧口令之间应该没有直接的联系，以保证不可由旧口令推知新口令；（4）账号的口令不应当取有意义的词语或其他符号，如使用者的姓名，生日或其它易于猜测的信息。以上叙述的系公司信息系统账号与口令管理的行为准则办法，在管理方法上上能有效保证保密信息安全。2.某些口令管理系统为用户提供了软硬件工具。 比如“无忧登录” 是一种为用户管理口令的桌面端软件；无忧登陆为互联网用户提供便捷性的上网登陆服务，拥有无忧登陆的帐号，可以畅行互联网，无忧登陆其中一个重要功能便是其密码保护，安全可靠，有高强度加密算法与基于图片密码的双因子认证， 最大强度的保护邮箱、QQ的密码安全.还有RSA公司的“SecurelD”是一种创建一次性口令的硬件方案 。另外一些口令管理系统使用单点登录技术 ，安全并且方便地鉴别用户。3.利用蓝牙手机实现口令管理的方法 本方法的实现系统简称为SmartlD，该系统由计算机端的操作系统登录插件GINA和浏览器插件以及手机端应用程序构成，通过蓝牙连接实现计算机端和手机端的通信。SmartlD使用智能手机验证登录界面的合法性，将需要保护的包括IP地址、Web页面特征等在内的登录界面信息储存在智能手机里，在登录时通过对登录界面信息的验证达到反钓鱼的目的。SmartlD能在操作系统和基于Web应用的用户登录界面中自动输入相应的口令，免去了用户对于口令的记忆困难和输入困难。同时SmartlD计算机端按一定频率检测蓝牙信号特征的变化，从而实现用户携带智能手机离开主机时自动锁定操作系统。该技术可以有效地提高用户在登录认证上的安全性，防止钓鱼攻击的发生。在应用性上，该技术不仅避免用户记忆繁琐复杂的口令和输入各种复杂的登录指令时发生错误，同时还具备了携带方便、移植性较高、部署成本低等优势。六、账户口令泄露的案例【案例一】2011年中国互联网爆发大规模用户密码泄露事件 2011年12月25日新华网报道，国内最大的程序员社区网站因遭遇黑客攻击，万用户的登录名及密码日前被公开泄露，随后又有多家网站的用户密码被流传于网络，部分用户账号面临风险，网站将因此临时关闭用户登录，引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。【案例二】Linkkedln用户密码泄露2012年6月，职业社交网站Linkkedln被爆出其IOS应用程序会在用户不知情的情况下收集信息，并上传数据到公司的服务器。另外，该网站的650万用户账户密码被泄露。芬兰信息安全公司CERT-TI已经向用户发出警告，虽然目前用户账户的详细资料没有被公布出来，但攻击者已经能够利用他们获取的用户密码访问用户数据。Linkkedln目前拥有超过1.5亿用户，所以这次泄露事件影响到的用户数量不会超过10%，即便如此，受影响的用户数量仍然非常庞大。被泄露的加密密码采用SHA-1算法加密，这种加密方式一定程度是安全的。但如果用户采用了简单的字典密码，那它还是有可能被破解的。七、安全、合用的口令策略1. 自行设立口令，普通用户口令长度不得低于6位，最近6个口令不可重复，口令中必须包含字母和数字；2. 管理员和超级管理员口令长度不得低于8位，最近10个口令不可重复，口令中必须包含字母、数字、符号，口令中同一个符号出现不得多于2次，各个口令中相同位置的字符相同的不得多于3个，口令不得为有意义的单词或短语。3. 用户当定期修改口令且牢记于脑中；4. 用户身份管理，通过加强终端使用者的身份认证来确保终端使用者的身份，根据计算机使用者的身份控制终端使用权限，将控制规则控制对象设定到人，提高管理便捷性；5. 多重身份认证，除传统地输入账号口令之外，辅以其他身份认证方式如指纹鉴定、USB KEY等;6. 日志审计，如果出现了泄密事故，那么我们关心的就是损失有多大，有哪些人参与，由于哪些操作导致泄密，需要追查事故责任人。参考文献：1 王毅,王力行,张磊等.基于蓝牙智能手机的口令管理技术研究J.计算机应用与软件,2009,26(12):268-270.DOI:10.3969/