使用者身份识别

1、使用者身份識別2022/2/15黃明祥1User Authentication(使用者身份辨識)Min-Shiang Hwang(黃明祥)Department of Management Information SystemNational Chung Hsing University(國立中興大學資訊管理學系)Email: .tw.tw/使用者身份識別2022/2/15黃明祥2使用者身份辨識使用者終端設備電腦主機系 統使用者身份識別結果身份識別(Identification)身份驗證(Authentication)Usern

2、ame: mshwangPassword: a23dsfsx使用者身份識別2022/2/15黃明祥3使用期間(User Sessions)登錄Login一般指令具敏感性指 令登出Logout使用者身份識別2022/2/15黃明祥4使用者身份辨識類型：證件驗證(Something Held) 條碼卡、 磁卡、IC卡、智慧卡(Smart Card)生物特徵驗證(Something Embodied) 生理結構唯一性：指紋、手紋、眼紋 行為差異性：聲音、筆跡、鍵盤、滑鼠通行密碼驗證(Something Known) Username、Password使用者身份識別2022/2/15黃明祥5生物特徵驗

3、證設備之評估：錯誤接受率(False Accept Rate) 不合法使用者卻被驗證為合法使用者錯誤拒絕率(False Reject Rate) 合法使用者卻被誤認為不合法使用者生與死驗證功能(Live & Die Verify)驗證時間(Verify Time) 使用者Login到系統驗證出結果之所需時間使用者身份識別2022/2/15黃明祥6通行密碼(Password)之安全威脅：字典攻擊法(Dictionary Attack)猜測攻擊法(Guessing Attack)行騙法(Spoofing)重送攻擊法(Replaying Attack)使用者身份識別2022/2/15黃明祥7猜測攻擊

4、法(Guessing Attack) ：長度 26字元 36字元 128字元 1 30毫秒 40毫秒 160毫秒 2 800毫秒 2秒 20秒 3 22秒 58秒 43分 4 10分 35分 93小時以PDP 11/70實驗使用者身份識別2022/2/15黃明祥8通行密碼之產生方式：使用者自選之通行密碼 (User-Generated Passwords) 容易受到字典及猜測攻擊 避免選擇：單字、與個人相關特性資料、 鍵盤排列、重複使用在多台主機系統 選擇不被猜中合理長度的通行密碼(6至12字母)。電腦隨機產生之通行密碼 (Computer-Generated Passwords) 不容易記憶

5、 避免將通行密碼寫在筆記本使用者身份識別2022/2/15黃明祥9使用通行密碼需注意事項： 勿將通行碼寫在任何地方。 除了特別的情況勿將通行碼給他人使用。 勿在你的檔案(或筆記本)中寫下您自己的密碼。 每次登錄時，先檢查系統給你的訊息， 例如；上次登錄時間。 當你離開終端機時一定要跳出系統。 嚴禁共用同一通行碼。使用者身份識別2022/2/15黃明祥10通行密碼的生命週期(Lifetime)： 時常改變你的通行碼，每二至三個月改變一次。 如有任何的理由懷疑通行碼已被他人知道，應該 立刻改變它。 因臨時性任務申請之通行密碼，任務結束後 使用者帳號應予刪除(並備份該使用者檔案資料)。 離職員工之帳

6、號應予刪除。使用者身份識別2022/2/15黃明祥11設計通行密碼需注意事項： 系統要訂定錯誤次數(如三次)。 同時有二人Login時之警告。 系統要有強迫使用者定期更改通行密碼功能， 並檢示通行密碼是否合理(字典單字、簡單、 與其他使用者之通行密碼雷同、與先前的通 行密碼重覆)。 使用者輸入完所有資料後才開始驗證其身份。 需回應上次Login之日期時間。 所有Login之動作均需記錄， 以作為稽核。使用者身份識別2022/2/15黃明祥12通行密碼技術之分類：系統需要儲存通行密碼表(Password Table) 直接儲存通行密碼法(Password) 單向函數法(One-Way Funct

7、ion) 通行密碼加密法(Password Encryption) 通行密碼加鹽法(Password Salt) 挑戰與回應法(Challenge-Response) 時戳法(Time-Stamp)系統不需要儲存通行密碼表 加密法 PW = Ek(ID) 憑證法使用者身份識別2022/2/15黃明祥131. 在 ATM( Automated Teller Machine) 提領現金2. 利用網路簽入或進行電子商務行為ID1ID2IDnPW1PW2PWnPassword Table使用者身份識別PWiF( )IDiIDi 格式正確?No拒絕通關YesIDi F(PWi)ID1 F(PW1)IDn

8、 F(PWn) 是否相同?拒絕通關YesNoF(PWi)F(PWi)接受通關公開單向函數此表不得寫入任何資訊使用者身份識別2022/2/15黃明祥15通行密碼加密法(Password Encryption)： Username Password mshwang Ek(123456) lhli Ek(abcdefgh) 通行密碼加鹽法(Password Salt)：%&為鹽巴 Username Password mshwang Ek(123456%&) lhli Ek(abcdefgh%&) 使用者身份識別2022/2/15黃明祥16Polonius 使用者辨識系統 使用者PassPort驗證伺

9、服器主機系統(1) User ID(2)產生 Challenge(4)User PIN(3)Challenge(5)Key(6)Response(7)驗證使用者端使用者身份識別2022/2/15黃明祥171.使用者告訴終端設備，它要登錄到主機系統。2.終端設備發送密文訊息終端識別名稱長江一號請求連線給主機系統。3.主機系統收到後回覆終端設備一密文訊息 請輸入使用者識別名稱及通行碼。4.終端設備要求使用者輸入識別名稱及通行碼。5.終端設備將識別名稱、通行碼、 目前時戳， 以密文型式回覆給主機系統。6.主機系統計算目前系統時間與時戳之差值，是否在合理 範圍內？再進一步比對使用者識別名稱及通行碼。時

10、戳法(Singh於1985年提出)使用者身份識別2022/2/15黃明祥18更改Unix系統之通行密碼telnet passwdEnter login password: sd123456New password: h1w3ankgRe-enter new password: h1w3ankg主機系統：原通行密碼： sd123456新通行密碼： h1w3ankg使用者身份識別2022/2/15黃明祥19使用者終端設備之驗證：專線直接驗證法 主機之PIN(個人身份號碼)及通行密碼分封交換網路回叫法(Callback) 1.使用者送出Login要求(PIN 、通行密碼、及位置資訊) 2.系統先斷線，並進行驗證PIN 及通行密碼 3.若驗證成功，系統依位置資訊回叫使用者(再做驗證)公用網路憑證法(Certificate) 終端設備經認證 以IP Address為連線之目的地位置使用者身份識別2022/2/15黃明祥