4-1身份与访问安全——身份认证ppt课件

1、身份与访问平安基于口令的认证案例与分析南京师范大学计算机科学与技术学院陈 波2021年12月21日上午，中国最大的开发者技术社区CSDN网站遭到黑客攻击，600余万用户资料遭泄露。以后陆续几天，天涯、人人、当当、凡客、杰出、开心、多玩等多家网站，相继被曝出密码遭网上公开泄露。目前，网上公开暴露的网络账户密码已超1亿个，包含用户密码的数据包依然可以在网上找到下载。国内最大的破绽报告平台乌云上还在不断有用户密码走漏事件公布。案例：国内著名网站用户密码泄露事件案例思索：1. 在用户对信息资源的访问过程中，用户密码口令起到什么作用？2. 基于用户口令的身份认证面临哪些平安要挟？如何确保口令认证的平安性

2、？3. 除了运用口令，人们还可以采用哪些方法标识身份，进展身份鉴别？1. 身份认证的概念用户密码，严厉地称为用户口令，实践上在人们的信息资源活动中起到标识用户身份，并依此进展身份认证的作用，防止非授权访问。身份认证Authentication是证明实体Entity对象的数字身份与物理身份能否一致的过程。身份认证技术可以有效防止信息资源被非授权运用，保证信息资源的平安。这里的实体可以是用户，也可以是主机系统。1. 身份认证的概念在计算机系统中，身份Identity是实体的一种计算机表达，计算机中的每一项事务是由一个或多个独一确定的实体参与完成的，而身份可以用来独一确定一个实体。根据实体的不同，身

3、份认证通常可分为用户与主机间的认证和主机与主机之间的认证，不过本质上，主机与主机之间的认证依然是用户与主机系统的认证。1. 身份认证的概念身份认证分为两个过程：标识与鉴别。标识Identification就是系统要标识实体的身份，并为每个实体取一个系统可以识别的内部称号标识符ID。识别主体真实身份的过程称为鉴别Authentication，也有称作认证或验证。户名或账户就可以作为身份标识。为了对主体身份的正确性进展验证，主体往往还需求提供进一步的凭证，例如密码口令、令牌或是生物特征。系统会将主体提供的账号和凭证这两类身份信息与先前已存储的该主体的身份信息进展比较，假设相匹配，那么主体就经过了身

4、份鉴别。思索到身份鉴别是身份认证的重要组成部分，鉴别与标识也严密联络，所以后面不再对认证和鉴别做区分。1. 身份认证的概念创建和发布的身份信息必需具有3个特性：1独一性。标识符必需是独一的且不能被伪造，防止一个实体冒充另一个实体。不同的计算机系统、不同的运用中，可以运用不同的方式来标识实体的身份：可以是一个独一的字符串，可以是一张数字证书类似于现实生活中的居民身份证，也可以是主机IP地址或MAC地址Media Access Control，媒介访问控制。例如：Windows系统的登录用户名和口令标识了一个用户的身份；翻开Office文档的口令标识了用户的身份；校园网用户登录学校图书馆资源时根据

5、用户的IP地址确认用户主机的合法身份等。1. 身份认证的概念创建和发布的身份信息必需具有3个特性：2非描画性。任何身份的标识都不能阐明账户的目的，例如Administrator这样的身份标识对于攻击者太具有诱惑力了。3权威签发。有的身份标识，如数字证书该当由权威机构颁发，以便对标识进展验真，或在出现争论时提供仲裁。案例思索：1. 在用户对信息资源的访问过程中，用户密码口令起到什么作用？2. 基于用户口令的身份认证面临哪些平安要挟？如何确保口令认证的平安性？3. 除了运用口令，人们还可以采用哪些方法标识身份，进展身份鉴别？2.基于口令的用户身份认证平安性分析用户U认证恳求认证系统S用户ID 密码

6、admin 123456chenbo 456789 用户信息平安认识不高；口令质量不高。攻击者运用社会工程学，骗取口令。伪造的登录界面；在输入密码时被键盘记录器等盗号程序所记录口令在传输过程中被攻击者嗅探到。口令在数据库中没有加密保管；数据库文件没有访问控制来看看大家最经常运用的密码是什么吧2.基于口令的用户身份认证平安性分析运用最多的密码长度是8位竟然不要求长度2.基于口令的用户身份认证平安性分析如何提高口令质量？对于用户增大口令空间。计算口令空间的公式：S = A M选用无规律的口令多个口令用工具生成口令对于网站登录时间限制。限制登录次数。尽量减少会话泄漏的信息。添加认证的信息量。2.基于

7、口令的用户身份认证平安性分析CSDN 杯最强密码大决选总冠军：ppnn13%dkstFeb.1st。看不懂？密码解析：娉娉袅袅十三余，豆蔻梢头二月初。csbt34.ydhl12s密码解析：池上碧苔三四点，叶底黄鹂一两声CSDN 杯最强密码大决选(续1)for_$n(RenSheng)_$n+=die密码解析：人生自古谁无死while(1)Ape1Cry&Ape2Cry;密码解析：两岸猿声啼不住doWhile(1)LeavesFly();YangtzeRiverFlows();密码解析：无边落木萧萧下，不尽长江滚滚来CSDN 杯最强密码大决选(续2)Tree_0f0=sprintf(2_Bird

8、_ff0/a); 密码解析：两个黄鹂鸣翠柳CaCO3=CaO+CO2密码解析：无语Windows 8 图片密码Windows 8操作系统添加的“图片密码。图片密码方便记忆，省去了用户记忆繁杂口令字符串的过程，且非常便于触控屏用户的运用，用户体验度高；与口令字符串相比，“图片密码不会出现口令窃取以及口令丧失的平安要挟，平安性较好。2.基于口令的用户身份认证平安性分析用户U认证恳求认证系统S用户ID 密码admin 123456chenbo 456789 用户信息平安认识不高，口令质量不高。口令在传输过程中被攻击者嗅探到。键盘记录器视频攻击者运用社会工程学，骗取口令。伪造的登录界面；在输入密码时被

9、键盘记录器等盗号程序所记录口令在数据库中没有加密保管；数据库文件没有访问控制维护输入口令平安控件本质是一种小程序。由各网站根据需求自行编写。当该网站的注册会员登录该网站时，平安控件发扬作用，经过对关键数据进展加密，防止账号密码被木马程序或病毒窃取，可以有效防止木马截取键盘记录。平安控件任务时，从客户的登录不断到注销，实时做到对网站及客户终端数据流的监控。就目前而言，由于平安控件的维护，客户的帐号及密码还是相对平安的。要防止伪装的平安控件。维护输入口令2.基于口令的用户身份认证平安性分析用户U认证恳求认证系统S用户ID 密码admin 123456chenbo 456789 用户信息平安认识不高

10、，口令质量不高。口令在传输过程中被攻击者嗅探到。局域网密码嗅探视频攻击者运用社会工程学，骗取口令。伪造的登录界面；在输入密码时被键盘记录器等盗号程序所记录口令在数据库中没有加密保管；数据库文件没有访问控制运用“验证码实现一次性口令认证某客户端用户登录界面上设置了“验证码输入框，此验证码是随机值。目前，得到广泛运用的验证码更多的是CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart，全自动区分计算机和人类的图灵测试)，是一种主要区分用户是计算机和人的自动程序。这类验证码的随机性不仅可以

11、防止口令猜测攻击，还可以有效防止攻击者对某一个特定注册用户用特定程序进展不断的登陆尝试，例如防止刷票、恶意注册、论坛灌水等。运用“验证码实现一次性口令认证运用“验证码实现一次性口令认证绑定手机的动态口令实现一次性口令认证支付宝的“手机宝令是一款直接安装在手机客户端上的平安认证产品，不需求额外的硬件支持。用户手机安装了“手机宝令软件后，该客户端软件与支付宝效力器按照同样的算法运算，软件每30秒与效力器端同步生成一条动态口令。用户开启手机宝令的平安效力后，在客户端进展修正密码、支付宝支付等操作时，除了需求输入本人的帐号和口令外，还需求输入手机宝令的动态密码。验证用户输入正确之后，用户才干进展下一步

12、操作。绑定手机的动态口令实现一次性口令认证动态口令也可以与手机号码绑定运用，经过向手机号码发送验证码来认证用户的身份。支付宝运用中，用户恳求了短信校验效力后，修正账户信息、找回密码、一定额度的账户资金变动都需求手机校验码确认。支付宝效力器会将动态口令，即手机校验码，发送到用户账号注册时绑定的手机号码上。合法用户可以经过接纳手机短信，输入动态口令，完成认证。当然，假设用户手机丧失，其支付宝账户将面临很大平安风险。运用动态口令牌实现一次性口令认证动态口令牌是一种内置电源、密码生成芯片和显示屏，并根据专门的算法定时自动更新口令的硬件设备。动态口令牌的运用简一方便，动态口令定时更新，用户只需根据系统的

13、提示，输入动态口令牌上当前显示的口令即可。支付宝和中国联通结合推出的“宝令就是一款动态口令卡的产品。用户开启效力后，在进展付款时，需求输入支付密码以及动态口令，确保账户资金更加平安。运用USB Key加强认证平安性USB Key是一种包含USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。基于USB Key的运用包括支付宝的“支付盾，网上银行的“U盾等。“U盾是银行推出的存放客户证书的平安工具。“U盾效力于网上银行的数字认证和电子签名需求。它的任务原理和认证方式同“支付盾类似。“支付盾是支付宝推出的平安产品。用户登

14、录支付宝进展在线支付时，需求插入包含用户数字证书的支付盾，效力器验证数字证书的真实性之后，用户才干进展支付操作运用智能卡加强认证平安性智能卡Smart Card是一种更为复杂的凭证。它是一种将具有加密、存储、处置才干的集成电路芯片嵌装于塑料基片上而制成的卡片。智能卡普通由微处置器、存储器等部件构成。为防止智能卡遗失或被窃，许多系统需求智能卡和个人识别码PIN同时运用。运用生物特征、生物行为加强认证平安性虽然网上银行广泛运用的U盾认证方式相比于“用户名+口令的方式平安性要高，但它依然有许多缺陷，例如需求随时携带U盾，也容易丧失或被窃。与这两种认证方式相比，利用用户本身的特征进展认证，也就基于生物

15、的认证技术Biometrics，具有无法比较的优点：用户不用再记忆和设置密码，运用更加方便。生物特征认证技术曾经成为目前公认的、最平安和最有效的身份认证技术，将成为IT产业最为重要的技术革命。运用生物特征、生物行为加强认证平安性基于击键特征的身份认证是利用一个人敲击键盘的行为特征进展身份认证。击键行为特征包括击键间隔、击键继续时间、击键位置，甚至击键压力等。北京微通新成网络科技的“键盘芭蕾就是一款静态口令认证和击键特征认证相结合的双要素身份认证产品，它不仅会检测用户输入的账号和密码能否正确，而且还搜集用户的击键间隔、击键继续时间等击键特征。只需用户的静态口令输入正确且击键特征与系统用户相符，用

16、户才干经过身份认证。2.基于口令的用户身份认证平安性分析用户U认证恳求认证系统S用户ID 密码admin 123456chenbo 456789 用户信息平安认识不高，口令质量不高。口令在传输过程中被攻击者嗅探到。攻击者运用社会工程学，骗取口令。伪造的登录界面；在输入密码时被键盘记录器等盗号程序所记录口令在数据库中没有加密保管；数据库文件没有访问控制对口令数据库等重要资源的防护资源用户身份标识与鉴别访问授权与控制日志记录与审计加密、哈希等管理等平安措施2.基于口令的用户身份认证平安性分析用户U认证恳求认证系统S用户ID 密码admin 123456chenbo 456789 用户信息平安认识不

17、高，口令质量不高。口令在传输过程中被攻击者嗅探到。攻击者运用社会工程学，骗取口令。伪造的登录界面；在输入密码时被键盘记录器等盗号程序所记录口令在数据库中没有加密保管；数据库文件没有访问控制案例思索：1. 在用户对信息资源的访问过程中，用户密码口令起到什么作用？2. 基于用户口令的身份认证面临哪些平安要挟？如何确保口令认证的平安性？3. 除了运用口令，人们还可以采用哪些方法标识身份，进展身份鉴别？案例思索：1. 在用户对信息资源的访问过程中，用户密码口令起到什么作用？2. 基于用户口令的身份认证面临哪些平安要挟？如何确保口令认证的平安性？3. 除了运用口令，人们还可以采用哪些方法标识身份，进展身

18、份鉴别？3. 身份认证技术身份认证过程中，需求将主体的账号与凭证这两类身份信息与保管的初始设定的进展比对，以此断定主体身份的真实性。常用的3种凭证信息是：1用户所知道的What you know，如要求输入用户的口令、密钥或是图片密码中记忆的动作等；2用户所拥有的What you have，如USB Key、U盾、智能卡等物理识别设备；3用户本身的特征What you are，如用户的指纹、声音、视网膜等生理特征以及击键等行为特征。3. 身份认证技术普通情况下，可以经过多个凭证也有称多因子来共同鉴别用户身份的真伪。我们在银行ATM机上取款需求插入银行卡，同时需求输入银行卡密码，就是采用了双因子认证。认证的因子越多，鉴别真伪的可靠性就越大。当然，在设计认证机制时需求思索认证的方便性和性能等综合要素。本讲主要内容：1. 在用户对信息资源的访问过程中，用户密码口令起到什么作用？1. 身份认证的概念2. 基于用户口令的身份认证面临哪些平安要挟？如何确保口令认证的平安性？2. 基于口令的用户身份认证平安性分析3. 除了运用口令，人们还可以采用哪些