《网络空间安全技术实践教程》课件1.1课件

第一篇网络空间安全实践入门篇第一章网络应用系统使用与分析实验1.1用户登录系统使用和分析网络空间安全技术实践教程11.1用户登录系统使用和分析实验目的：

本实验主要是通过对电商（淘宝），信息平台（163），视频资源（土豆视频），即时聊天（QQ），数字化校园（杭电），国外社交网站（facebook）等的登录系统进行登录使用，同时分析使用密码更改的方式，密码设置的强弱限制，以及辅助安全登录的技术使用，来对当前的用户登录系统的安全保护有一个初步认识。网络空间安全技术实践教程21.1用户登录系统使用和分析实验原理：

用户登录系统是网站的基础设施之一，通过该系统可以完成注册账号、登录账号、管理账号等功能。本实验基于用户登录系统，进行一系列的基础操作，由此分析网站的安全性。网络空间安全技术实践教程31.1用户登录系统使用和分析实验要点说明：（实验难点说明）登录系统更改密码分析密码设置要求辅助安全登录技术网络空间安全技术实践教程41.1用户登录系统使用和分析实验准备：（实验环境，实验先有知识技术说明）操作系统windowsXP及以上IE11.0及以上版本浏览器计算机基本操作...网络空间安全技术实践教程51.1用户登录系统使用和分析实验步骤：1）淘宝网站登录系统分析及使用

(1)登录淘宝网站账户

淘宝网站有多种登录方式，包括最传统的密码登录，关联账号登录以及手机扫码登录。密码登录（见图1-1-1）可通过手机名、用户名和邮箱作为身份标识，使用密码登录。同时，还能看到可以通过关联的微博和支付宝进行登录。除此之外，还可以通过已登录的手机淘宝客户端扫码进行登录（见图1-1-2）。需要注意的是，该二维码并非永久有效，一段时间过期后会失效，此时需要刷新产生新的二维码，才能再用手机扫码登录。网络空间安全技术实践教程61.1用户登录系统使用和分析实验步骤：1）淘宝网站登录系统分析及使用

(2)修改淘宝账户密码

登录账号后，可以在账号管理-安全设置中找到修改登录密码服务，如图1-1-3所示。进入修改密码后，首先需要通过验证绑定的手机号，并且在修改密码之前还需要再进行一次身份验证，方式多种，如图1-1-4所示。

淘宝网站要求用户设置一个包含数字和字母，并且长度超过6位以上的密码，可以增加密码的复杂性，提高暴力攻击的难度。网络空间安全技术实践教程71.1用户登录系统使用和分析实验步骤：1）淘宝网站登录系统分析及使用

(3)分析与思考淘宝网站提供了密码登录和扫码登录，同时淘宝网站提示“扫码登录更安全”，请使用网络搜集信息，试着分析扫码登录的原理，并说明为什么扫码登录更安全。网络空间安全技术实践教程81.1用户登录系统使用和分析2）网易163网站登录系统分析及使用

(1)登录网易163网站账户

网易163网站只有密码登录一种方式。密码登录（见图1-1-5）可通过网易邮箱或常用邮箱作为用户身份标识，使用密码登录。网络空间安全技术实践教程91.1用户登录系统使用和分析2）网易163网站登录系统分析及使用

(2)修改网易163账户密码登录账号后，可在账号中心-账号管理中找到修改密码服务，首先进行绑定手机号的短信验证，然后进入修改密码界面（见图1-1-6）。网易163网站要求用户设置一个只能使用字母、数字、特殊字符的6-16位密码，并且区分大小写，然而并没有要求用户增大密码的字典，对某些贪图方便的用户来说，可能使用一些简单密码，造成账户安全风险。网络空间安全技术实践教程101.1用户登录系统使用和分析2）网易163网站登录系统分析及使用

(3)分析与思考如图1-1-5所示，网易163网站在密码登录时使用“验证码”作为登录安全辅助技术，请使用网络搜集信息，试着分析“验证码”技术原理，并总结归纳目前验证码技术的种类。网络空间安全技术实践教程111.1用户登录系统使用和分析3）土豆视频网站登录系统分析及使用

(1)登录土豆视频网站账户土豆网站有多种登录方式，包括密码登录、关联账号登录和手机快捷登录。密码登录（见图1-1-7）可通过手机、邮箱或优酷土豆账号作为身份标识，使用密码登录。同时，还能看到可以通过关联的淘宝、支付宝、QQ、微博以及微信进行登录。除此之外，还可以用绑定手机进行快捷登录（见图1-1-8），网站向绑定手机发送动态密码，并验证动态密码，并且动态密码只在一段时间内有效。网络空间安全技术实践教程121.1用户登录系统使用和分析3）土豆视频网站登录系统分析及使用

(2)修改土豆视频账户密码登录账号后，可以在账户设置-账户安全-安全设置中找到修改登录密码服务。进入修改密码后，首先需要通过短信验证绑定的手机号，并且在修改密码时还需要输入原密码，如图1-1-9所示。土豆视频网站要求用户设置一个只能使用字母、数字和符号的6-16位密码，同样没能有效排除低安全性的密码。网络空间安全技术实践教程131.1用户登录系统使用和分析3）土豆视频网站登录系统分析及使用

(3)分析与思考如图1-1-7所示，土豆视频网站提供了密码登录，手机快捷登录，关联帐号登录等3类登录方式，在关联账户登录中，土豆视频可以使用淘宝，支付宝，QQ，Wechat以及微博账户进行登录，请试着分析土豆视频采取广泛的关联帐号登录的目的是什么？并请使用网络搜集信息，试着分析关联帐号登录的技术原理，并说明其带来的安全性和问题。网络空间安全技术实践教程141.1用户登录系统使用和分析4）QQ登录系统分析及使用(1)登录QQ账户(2)修改QQ账户密码(3)分析与思考如图1-1-12所示，QQ在验证账户主人真实性的时候提供了一个最坏条件的验证环境：即账户主人忘记了密码，同时密保手机号码无效或不在身边的情况下，仍能提供账户主人真实性认证服务。请首先试着以腾讯公司的身份来设计该如何提供该项服务，然后直接使用该项验证方式，比对你的想法和其提供的验证方式，分析其优点和缺点。网络空间安全技术实践教程151.1用户登录系统使用和分析5）数字杭电登录系统分析及使用(1)登录数字杭电账号(2)修改数字杭电账号密码(3)分析与思考如图1-1-14所示，数字杭电登录时只提供学号和工号的登录。请试着分析并回答如下问题：第一，数字杭电需要提供用户账户注册功能吗？为什么？第二，数字杭电需要使用关联账户登录功能吗？为什么？网络空间安全技术实践教程161.1用户登录系统使用和分析6）facebook网站登录系统分析及使用(1)登录facebook网站账户(2)修改facebook账户密码(3)分析与思考如图1-1-17所示，用户登录系统后可以更改登录密码，但是当用户忘记密码时，往往可以通过密保手机来重置密码（如图1-1-4，图1-1-6所示），由此，个人手机号码将存储在各种安全保护水平不等的网站之中，增加了个人隐私信息的泄漏风险。请运用网络以及已有知识，试着提出一种解决该类问题的找回密码或者重置密码的方式。网络空间安全技术实践教程171.1用户登录系统使用和分析实验结果要求

本次实验要求使用上述6大类网络应用（电商、信息平台、视频、即时聊天、数字化校园、社交网站）的登录系统，至少选择3个不同本节实验教程给出的网站（但必须满足一种类型一个网站），进行登录操作和修改密码操作，并据此分析登录系统的安全性，从而对网络安全产生更加系统的初步认识。网络空间安全技术实践教程181.1用户登录系统使用和分析实验报告要求

实验报告要求有封面，实验目的，实验环境，实验结果及分析；其中实验结果主要描述你使用的登录系统包含的功能（参看本节实验教程的格式），得出的结论。实验分析主要是分析比对各类登录系统，并用表格形式总结归纳各类登录系统的登录方式，密