身份与访问安全-身份认证

身份与访问安全

——基于口令的认证案例与分析南京师范大学计算机科学与技术学院陈波案例：国内著名网站用户密码泄露事件信息安全案例教程：技术与应用2案例思考：31.在用户对信息资源的访问过程中，用户密码（口令）起到什么作用？2.基于用户口令的身份认证面临哪些安全威胁？如何确保口令认证的安全性？3.除了使用口令，人们还可以采用哪些方法标识身份，进行身份鉴别？信息安全案例教程：技术与应用1.身份认证的概念用户密码，严格地称为用户口令，实际上在人们的信息资源活动中起到标识用户身份，并依此进行身份认证的作用，防止非授权访问。身份认证（Authentication）是证实实体（Entity）对象的数字身份与物理身份是否一致的过程。身份认证技术能够有效防止信息资源被非授权使用，保障信息资源的安全。这里的实体可以是用户，也可以是主机系统。4信息安全案例教程：技术与应用1.身份认证的概念在计算机系统中，身份（Identity）是实体的一种计算机表达，计算机中的每一项事务是由一个或多个唯一确定的实体参与完成的，而身份可以用来唯一确定一个实体。根据实体的不同，身份认证通常可分为用户与主机间的认证和主机与主机之间的认证，不过实质上，主机与主机之间的认证仍然是用户与主机系统的认证。5信息安全案例教程：技术与应用1.身份认证的概念身份认证分为两个过程：标识与鉴别。标识（Identification）就是系统要标识实体的身份，并为每个实体取一个系统可以识别的内部名称——标识符ID。识别主体真实身份的过程称为鉴别（Authentication），也有称作认证或验证。户名或账户就可以作为身份标识。为了对主体身份的正确性进行验证，主体往往还需要提供进一步的凭证，例如密码（口令）、令牌或是生物特征。系统会将主体提供的账号和凭证这两类身份信息与先前已存储的该主体的身份信息进行比较，如果相匹配，那么主体就通过了身份鉴别。考虑到身份鉴别是身份认证的重要组成部分，鉴别与标识也紧密联系，所以后面不再对认证和鉴别做区分。6信息安全案例教程：技术与应用1.身份认证的概念创建和发布的身份信息必须具有3个特性：1）唯一性。标识符必须是唯一的且不能被伪造，防止一个实体冒充另一个实体。不同的计算机系统、不同的应用中，可以使用不同的方式来标识实体的身份：可以是一个唯一的字符串，可以是一张数字证书（类似于现实生活中的居民身份证），也可以是主机IP地址或MAC地址（MediaAccessControl，媒介访问控制）。例如：Windows系统的登录用户名和口令标识了一个用户的身份；打开Office文档的口令标识了用户的身份；校园网用户登录学校图书馆资源时根据用户的IP地址确认用户主机的合法身份等。7信息安全案例教程：技术与应用1.身份认证的概念创建和发布的身份信息必须具有3个特性：2）非描述性。任何身份的标识都不能表明账户的目的，例如Administrator这样的身份标识对于攻击者太具有诱惑力了。3）权威签发。有的身份标识，如数字证书应当由权威机构颁发，以便对标识进行验真，或在出现争执时提供仲裁。8信息安全案例教程：技术与应用案例思考：91.在用户对信息资源的访问过程中，用户密码（口令）起到什么作用？2.基于用户口令的身份认证面临哪些安全威胁？如何确保口令认证的安全性？3.除了使用口令，人们还可以采用哪些方法标识身份，进行身份鉴别？信息安全案例教程：技术与应用2.基于口令的用户身份认证安全性分析10用户U认证请求认证系统S用户ID密码admin123456chenbo456789…………用户信息安全意识不高；口令质量不高。攻击者运用社会工程学，骗取口令。伪造的登录界面；在输入密码时被键盘记录器等盗号程序所记录口令在传输过程中被攻击者嗅探到。口令在数据库中没有加密保存；数据库文件没有访问控制信息安全案例教程：技术与应用来看看看大家家最经经常使使用的的密码码是什什么吧吧2.基于口口令的的用户户身份份认证证安全全性分分析11信息安安全案案例教教程：：技术术与应应用使用最最多的的密码码长度度是8位竟然不不要求求长度度2.基于口口令的的用户户身份份认证证安全全性分分析12信息安安全案案例教教程：：技术术与应应用如何提提高口令质量？？对于用用户增大口令空空间。计算算口令空空间的公式：S=AM选用无规律律的口令多个口令令用工具具生成成口令对于网网站登录时时间限限制。。限制登登录次次数。。尽量减减少会会话透透露的的信息息。增加认认证的的信息息量。。2.基于口口令的的用户户身份份认证证安全全性分分析13信息安安全案案例教教程：：技术术与应应用CSDN杯最强强密码码大决选总冠军军：ppnn13%dkstFeb.1st。看不懂？密码解解析：娉娉娉袅袅袅十三三余，，豆蔻蔻梢头头二月月初。csbt34.ydhl12s密码解解析：：池上碧苔苔三四四点，，叶底底黄鹂鹂一两两声14信息安安全案案例教教程：：技术术与应应用CSDN杯最强强密码码大决选(续1)for_$n(@RenSheng)_$n+="die"密码解解析：：人生自自古谁谁无死死while(1)Ape1Cry&&Ape2Cry;密码解析：：两岸岸猿声声啼不住doWhile(1){LeavesFly();YangtzeRiverFlows();密码解析：：无边边落木木萧萧萧下，，不尽尽长江江滚滚滚来15信息安安全案案例教教程：：技术术与应应用CSDN杯最强强密码码大决选(续2)Tree_0f0=sprintf("2_Bird_ff0/a");密码解解析：：两个个黄鹂鹂鸣翠翠柳CaCO3=CaO+CO2密码解析：无语语16信息安安全案案例教教程：：技术术与应应用Windows8图片密密码Windows8操作系系统增增加的的“图片片密码码”。。图片密密码方方便记记忆，，省去去了用用户记记忆繁繁杂口口令字字符串串的过过程，，且十十分便便于触触控屏屏用户户的使使用，，用户户体验验度高高；与口令字字符串串相比比，““图片片密码码”不不会出出现口口令窃窃取以以及口口令丢丢失的的安全全威胁胁，安安全性性较好好。17信息安安全案案例教教程：：技术术与应应用2.基于口口令的的用户户身份认认证安安全性性分析析用户U认证请请求认证系统S用户ID密码admin123456chenbo456789……………用户信信息安安全意意识不不高，口令质量不不高。。口令在在传输输过程程中被攻击击者嗅嗅探到到。键盘记记录器器视频频攻击者者运用用社会会工程程学，，骗取口口令。伪造的的登录录界面面；在输入入密码码时被被键盘盘记录器等等盗号号程序序所记记录口令在在数据据库中中没有加加密保保存；；数据库库文件件没有有访问控制制18信息安全全案例教教程：技技术与应应用保护输入入口令安全控件件实质是是一种小小程序。。由各网网站依据据需要自自行编写写。当该网站站的注册册会员登登录该网网站时，，安全控控件发挥挥作用，，通过对对关键数数据进行行加密，，防止账账号密码码被木马马程序或或病毒窃窃取，可可以有效效防止木木马截取取键盘记记录。安全控件件工作时时，从客客户的登登录一直直到注销销，实时时做到对对网站及及客户终终端数据据流的监监控。就就目前而而言，由由于安全全控件的的保护，，客户的的帐号及及密码还还是相对对安全的的。要防止伪伪装的安安全控件件。19信息安全全案例教教程：技技术与应应用保护输入入口令20信息安全全案例教教程：技技术与应应用2.基于口令令的用户户身份认证证安全性性分析用户U认证请求求认证系统S用户ID密码admin123456chenbo456789……………用户信息息安全意意识不高高，口令质量不高高。口令在传传输过程程中被攻击者者嗅探到到。局域网密密码嗅探视频攻击者运运用社会会工程学学，骗取口令令。伪造的登登录界面面；在输入密密码时被被键盘记记录器等盗盗号程序序所记录录口令在数数据库中中没有加密密保存；；数据库文文件没有有访问控制制21信息安全全案例教教程：技技术与应应用使用“验验证码””实现一一次性口口令认证证某客户端用用户登录录界面上上设置了了“验证证码”输输入框，，此验证证码是随随机值。目前，得得到广泛泛应用的的验证码码更多的的是CAPTCHA(CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart，全自动动区分计计算机和和人类的的图灵测测试)，是一种种主要区区分用户户是计算算机和人人的自动动程序。这类验证码码的随机机性不仅仅可以防防止口令令猜测攻攻击，还还可以有有效防止止攻击者者对某一一个特定定注册用用户用特特定程序序进行不不断的登登陆尝试试，例如如防止刷刷票、恶恶意注册册、论坛坛灌水等等。22信息安全全案例教教程：技技术与应应用使用“验验证码””实现一一次性口口令认证证23信息安全全案例教教程：技技术与应应用使用“验验证码””实现一一次性口口令认证证24信息安全全案例教教程：技技术与应应用绑定手机机的动态态口令实实现一次次性口令令认证支付宝的“手手机宝令令”是一一款直接接安装在在手机客客户端上上的安全全认证产产品，不不需要额额外的硬硬件支持持。用户手机安装装了“手手机宝令令”软件件后，该该客户端端软件与与支付宝宝服务器器按照同同样的算算法运算算，软件件每30秒与服务务器端同同步生成成一条动动态口令。用户开启手机机宝令的的安全服服务后，，在客户户端进行行修改密密码、支支付宝支支付等操操作时，，除了需需要输入入自己的的帐号和和口令外外，还需需要输入入手机宝宝令的动动态密码。验证用户输入入正确之之后，用用户才能能进行下下一步操操作。25信息安全全案例教教程：技技术与应应用绑定手机机的动态态口令实实现一次次性口令令认证动态口令令也可以以与手机机号码绑绑定使用用，通过过向手机机号码发发送验证证码来认认证用户户的身份份。支付宝应用中中，用户户申请了了短信校校验服务务后，修修改账户户信息、、找回密密码、一一定额度度的账户户资金变变动都需需要手机机校验码码确认。支付宝服务器器会将动动态口令令，即手手机校验验码，发发送到用用户账号号注册时时绑定的的手机号号码上。合法用户可以以通过接接收手机机短信，，输入动动态口令令，完成成认证。当然，如果用用户手机机丢失，，其支付付宝账户户将面临临很大安安全风险险。26信息安全全案例教教程：技技术与应应用使用动态态口令牌牌实现一次次性口令令认证动态口令令牌是一一种内置置电源、、密码生生成芯片片和显示示屏，并并根据专专门的算算法定时时自动更更新口令令的硬件件设备。动态口令牌的的使用简简单方便便，动态态口令定定时更新新，用户户只要根根据系统统的提示示，输入入动态口口令牌上上当前显显示的口口令即可可。支付宝和中国国联通联联合推出出的“宝宝令”就就是一款款动态口口令卡的的产品。。用户开开启服务务后，在在进行付付款时，，需要输输入支付付密码以以及动态态口令，，确保账账户资金金更加安安全。27信息安全全案例教教程：技技术与应应用使用USBKey增强认证证安全性性USBKey是一种包包含USB接口的硬硬件设备备，它内内置单片片机或智智能卡芯芯片，可可以存储储用户的的密钥或数字证书书，利用USBKey内置的密密码算法法实现对对用户身身份的认认证。基于USBKey的应用包包括支付付宝的““支付盾盾”，网网上银行行的“U盾”等。“U盾”是银银行推出出的存放放客户证证书的安安全工具具。“U盾”服务务于网上上银行的的数字认认证和电电子签名名需求。。它的工工作原理理和认证证方式同同“支付付盾”类类似。“支付盾盾”是支支付宝推推出的安安全产品品。用户户登录支支付宝进进行在线线支付时时，需要要插入包包含用户户数字证证书的支支付盾，，服务器器验证数数字证书书的真实实性之后后，用户户才能进进行支付付操作28信息安全全案例教教程：技技术与应应用使用智能能卡增强认证证安全性性智能卡（（SmartCard）是一种种更为复复杂的凭凭证。它是一种将将具有加加密、存存储、处处理能力力的集成成电路芯芯片嵌装装于塑料料基片上上而制成成的卡片。智能卡一般由由微处理理器、存存储器等等部件构构成。为为防止智智能卡遗遗失或被被窃，许许多系统统需要智智能卡和和个人识识别码PIN同时使用用。29信息安全全案例教教程：技技术与应应用使用生物物特征、、生物行行为增强强认证安全全性虽然网上上银行广广泛使用用的U盾认证方方式相比比于“用用户名+口令”的的方式安安全性要要高，但但它仍然然有许多多缺点，，例如需需要随时时携带U盾，也容容易丢失失或被窃窃。与这两种认认证方式式相比，，利用用用户本身身的特征征进行认认证，也也就基于于生物的的认证技技术（Biometrics），具有有无法比比拟的优点：用户不必再记记忆和设设置密码码，使用用更加方方便。生物特征认证证技术已已经成为为目前公公认的、、最安全全和最有有效的身身份认证证技术，，将成为为IT产业最为为重要的的技术革革命。30信息安全全案例教教程：技技术与应应用使用生物物特征、、生物行行为增强强认证安全全性基于击键键特征的的身份认认证是利利用一个个人敲击击键盘的的行为特特征进行行身份认认证。击击键行为为特征包包括击键间隔隔、击键持续续时间、击键位置置，甚至击键压力力等。北京微通通新成网网络科技技有限公公司的““键盘芭芭蕾”就就是一款款静态口口令认证证和击键键特征认认证相结结合的双双因素身身份认证证产品，，它不仅仅会检测测用户输输入的账账号和密密码是否否正确，，而且还还收集用用户的击击键间隔隔、击键键持续时时间等击击键特征征。只有有用户的的静态口口令输入入正确且且击键特特征与系系统用户户相符，，用户才才能通过过身份认认证。31信息安全全案例教教程：技技术与应应用2.基于口令令的用户户身份认证证安全性性分析用户U认证请求求认证系统S用户ID密码admin123456chenbo456789……………用户信息息安全意意识不高高，口令质量不高高。口令在传传输过程程中被攻击者者嗅探到到。攻击者运运用社会会工程学学，骗取口令令。伪造的登登录界面面；在输入密密码时被被键盘记记录器等盗盗号程序序所记录录口令在数数据库中中没有加密密保存；；数据库文文件没有有访问控制制32信息安全全案例教教程：技技术与应应用对口令数数据库等等重要资资源的防防护33资源用户身份标识识与鉴别别访问授权权与控制制日志记录录与审计计加密、哈哈希等管理等安安全措施施信息安全全案例教教程：技技术与应应用2.基于口令令的用户户身份认证证安全性性分析用户U认证请求求认证系统S用户ID密码admin123456chenbo456789……………用户信息息安全意意识不高高，口令质量不高高。口令在传传输过程程中被攻击者者嗅探到到。攻击者运运用社会会工程学学，骗取取口口令令。伪造造的的登登录录界界面面；；在输输入入密密码码时时被被键键盘盘记记录器器等等盗盗号号程程序序所所记记录录口令令在在数数据据库库中中没有有加加密密保保存存；；数据据库库文文件件没没有有访问问控控制制34信息息安安全全案案例例教教程程：：技技术术与与应应用用案例例思思考考：：351.在用户户对对信信息息资资源源的的访访问问过过程程中中，用用户户密密码码（（口口令令））起起到到什什么么作作用用？？2.基于于用户户口口令令的的身份份认认证证面面临临哪哪些些安安全全威威胁胁？？如如何何确保保口口令令认认证证的安安全全性性？？3.除了了使用用口口令令，，人们们还还可可以以采采用用哪哪些些方方法法标标识识身身份份，，进进行行身身份份鉴鉴别别？信息息安安全全案案例例教教程程：：技技术术与与应应用用案例例思思考考：：361.在用户户对对信信息息资资源源的的访访问问过过程程中中，用用户户密密码码（（口口令令））起起到到什什么么作作用用？？2.基于于用户户口口令令的的身份份认认证证面面临临哪哪些些安安全全威威胁胁？？如如何何确保保口口令令认认证证的安安全全性性？？3.除了了使使用用口口令令，，人人们们还还可可以以采采用用哪哪些些方方法法标标识识身身份份，，进进行行身身份份鉴鉴别别？？信息息安安全全案案例例教教程程：：技技术术与与应应用用3.身份份认认证证技技术术身份份认认证证过过程程中中，，需需要要将将主主体体的的账账号号与与凭凭证证这这两两类类身身份份信信息息与与保保存存的的初初始始设设定定的的进进行行比比对对，，以以此此判判定定主主体体身身份份的的真真实实性性。常用用的3种凭凭证证信信息息是是：：1）用户户所所知知道道的的（Whatyouknow），，如如要要求求输输入入用用户户的口口令令、、密密钥钥或或是是图图片片密密码码中中记记忆忆的动作作等等；2）用户户所所拥拥有有的的（Whatyouhave），，如USBKey、U盾、、智智能能卡等等物物理理识识别别设设备备；；3）用户户本本身身的的特特征征（Whatyouare），，如如用用户户的的指指纹纹、、声声音音、、视视网网膜膜等等生生理理特特征征以以及及击击键键等等行行为为特特征征。。37信息息安安全全案案例例教教程程：：技技术术与与应应用用3.身份份认认证证技技术术一般般情情况况下下，，可可以以通通过过多多个凭凭证证（（也有有称称多多因因子子））来来共共同同鉴鉴别别用用户户身身份份的的真真伪伪。我们们在银银行行ATM机上上取取款款需需要要插插入入银银行行卡卡，，同同时时需需要要输输入入银银行行卡卡密密码码，，就就是是采采用用了了双双因因子子认认证证。认证的因子子越多多，鉴鉴别真真伪的的可靠靠性就就越大大。当然，在设设计认认证机机制时时需要要考虑虑认证证的方方便性性和性性能等等综合合因素素。38信息安安全案案例教教程：：技术术与应应用本讲主主要内内容：：391.在用户户对信信息资资源的的访问问过程程中，，用户户密码码（口口令））起到到什么么作用用？1.身份认认证的的概念念2.基于用用户口口令的的身份份认证证面临临哪些些安全全威胁胁？如如何确确保口口令认认证的的安全全性？？2.基于口口令的的用户户身份份认证证安全全性分分析3.除了使使用口口令，，人们们还可可以采采用哪哪些方方法标标识身身份，，进行行身份份鉴别别？3.身份认认证技技术信息安安全案案例教教程：：技术术与应应用本讲思思考与与练习习40简答：：设置强口令令的基基本原原则是是什么么？有有哪些些途径径来帮帮助我我们检检测口口令的的强度度？操作实实验：通常建议不不同的的登录录地点点使用用不同同的口口令，，以避避免一一个账账户的的口令令泄露露波及及其他他账户户。个个人面面对日日益众众多的的口令令如何何安全全存储储和管管理是是个重重要问问题。。试下下载跨跨平台台密码码管理理工具1password（/onepassword）、KeePass（）、LastPass（）、PasswordSafe（/projects/passwordsafe/files）等进进行实实验，，完成成实验验报告告。更多资资源请请访问问南京京师范范大学学信息息化教教学网网本课程程主页页信息安安全案案例教教程：：技术术与应应用9、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。12月月-2212月月-22Tuesday,December20,202210、雨中黄黄叶树，，灯下白白头人。。。03:59:5803:59:5803:5912/20/20223:59:58AM11、以我独独沈久，，愧君相相见频。。。12月-2203:59:5803:59Dec-2220-Dec-2212、故人江江海别，，几度隔隔山川。。。03:59:5803:59:5803:59Tuesday,December20,202213、乍见翻疑疑梦，相悲悲各问年。。。12月-2212月-2203:59:5803:59:58December20,202214、他乡生白白发，旧国国见青山。。。20十二二月20223:59:58上上午03:59:5812月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月223:59上上午12月-2203:59December20,202216、行动出成成果，工作作出财富。。。2022/12/203:59:5803:59:5820December202217、做做前前，，能能够够环环视视四四周周；；做做时时，，你你只只能能或或者者最最好好沿沿着着以以脚脚为为起起点点的的射射线线向向前前。。。。3:59:58上上午午3:59上上午午03:59:5812月月-229、没没有有失失败败，，只只有有暂暂时时停停止止成成功功！！。。12月月-2212月月-22Tuesday,December20,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。03:59:5903:59:5903:5912/20/20223:59:59AM11、成功就就是日复复一日那那一点点点小小努努力的积积累。。