案例:国内著名网站案例:国内著名网站用户密码泄露事件用户密码泄露事件
信息安全案例教程:技术与应用1
案例思考:案例思考:
2
1.�1.�在在用户对信息资源的访问过程中用户对信息资源的访问过程中,用户密码(口,用户密码(口
令)起到什么作用?令)起到什么作用?
2.�2.�基于基于用户口令的用户口令的身份认证面临哪些安全威胁?如身份认证面临哪些安全威胁?如
何何确保口令认证确保口令认证的安全性?的安全性?
33.�.�除了使用口令,人们还可以采用哪些方法标识身除了使用口令,人们还可以采用哪些方法标识身
份,进行身份鉴别?份,进行身份鉴别?
信息安全案例教程:技术与应用
1.�1.�身份认证的概念身份认证的概念
用户密码,严格地称为用户口令,实际上在人们的信息资用户密码,严格地称为用户口令,实际上在人们的信息资
源活动中起到标识用户身份,并依此进行源活动中起到标识用户身份,并依此进行身份认证身份认证的作用,的作用,
防止非授权访问。防止非授权访问。
身份认证身份认证((AuthenticationAuthentication)是证实实体()是证实实体(EntityEntity)对)对
象的数字身份与物理身份是否一致的过程。身份认证技术象的数字身份与物理身份是否一致的过程。身份认证技术
能够有效防止信息资源被非授权使用,保障信息资源的安能够有效防止信息资源被非授权使用,保障信息资源的安
全。全。
这里的实体可以是用户,也可以是主机系统。这里的实体可以是用户,也可以是主机系统。
3 信息安全案例教程:技术与应用
1.�1.�身份认证的概念身份认证的概念
在计算机系统中,身份(在计算机系统中,身份(IdentityIdentity)是实体的一种计算机)是实体的一种计算机
表达,计算机中的每一项事务是由一个或多个唯一确定的表达,计算机中的每一项事务是由一个或多个唯一确定的
实体参与完成的,而身份可以用来唯一确定一个实体。实体参与完成的,而身份可以用来唯一确定一个实体。
根据实体的不同,身份认证通常可分为用户与主机间的认根据实体的不同,身份认证通常可分为用户与主机间的认
证和主机与主机之间的认证,不过实质上,主机与主机之证和主机与主机之间的认证,不过实质上,主机与主机之
间的认证仍然是用户与主机系统的认证。间的认证仍然是用户与主机系统的认证。
4 信息安全案例教程:技术与应用
1.�1.�身份认证的概念身份认证的概念
身份认证分为两个过程:身份认证分为两个过程:标识标识与与鉴别鉴别。。
标识标识((IdentificationIdentification)就是系统要标识实体的身份,并为每个)就是系统要标识实体的身份,并为每个
实体取一个系统可以识别的内部名称实体取一个系统可以识别的内部名称————标识符标识符IDID。。
识别主体真实身份的过程称为识别主体真实身份的过程称为鉴别鉴别((AuthenticationAuthentication),也有),也有
称作认证或验证。称作认证或验证。
户名或账户就可以作为身份标识。为了对主体身份的正确户名或账户就可以作为身份标识。为了对主体身份的正确
性进行验证,主体往往还需要提供进一步的凭证,例如密性进行验证,主体往往还需要提供进一步的凭证,例如密
码(口令)、令牌或是生物特征。码(口令)、令牌或是生物特征。
系统会将主体提供的账号和凭证这两类身份信息与先前已系统会将主体提供的账号和凭证这两类身份信息与先前已
存储的该主体的身份信息进行比较,如果相匹配,那么主存储的该主体的身份信息进行比较,如果相匹配,那么主
体就通过了身份鉴别。体就通过了身份鉴别。
考虑到身份鉴别是身份认证的重要组成部分,鉴别与标识考虑到身份鉴别是身份认证的重要组成部分,鉴别与标识
也紧密联系,所以后面不再对认证和鉴别做区分。也紧密联系,所以后面不再对认证和鉴别做区分。
5 信息安全案例教程:技术与应用
1.�1.�身份认证的概念身份认证的概念
创建和发布的身份信息必须具有创建和发布的身份信息必须具有33个特性:个特性:
11)唯一性)唯一性。标识符必须是唯一的且不能被伪造,防止一。标识符必须是唯一的且不能被伪造,防止一
个实体冒充另一个实体。不同的计算机系统、不同的应用个实体冒充另一个实体。不同的计算机系统、不同的应用
中,可以使用不同的方式来标识实体的身份:可以是一个中,可以使用不同的方式来标识实体的身份:可以是一个
唯一的字符串,可以是一张数字证书(类似于现实生活中唯一的字符串,可以是一张数字证书(类似于现实生活中
的居民身份证),也可以是主机的居民身份证),也可以是主机IPIP地址或地址或MACMAC地址地址
((Media�Access�ControlMedia�Access�Control,媒介访问控制)。,媒介访问控制)。
例如:例如:
WindowsWindows系统的登录用户名和口令标识了一个用户的系统的登录用户名和口令标识了一个用户的
身份;身份;
打开打开OfficeOffice文档的口令标识了用户的身份;文档的口令标识了用户的身份;
校园网用户登录学校图书馆资源时根据用户的校园网用户登录学校图书馆资源时根据用户的IPIP地址地址
确认用户主机的合法身份等。确认用户主机的合法身份等。
6 信息安全案例教程:技术与应用
1.�1.�身份认证的概念身份认证的概念
创建和发布的身份信息必须具有创建和发布的身份信息必须具有33个特性:个特性:
22)非描述性)非描述性。任何身份的标识都不能表明账户的目的,。任何身份的标识都不能表明账户的目的,
例如例如AdministratorAdministrator这样的身份标识对于攻击者太具有诱这样的身份标识对于攻击者太具有诱
惑力了。惑力了。
33)权威签发)权威签发。有的身份标识,如数字证书应当由权威机。有的身份标识,如数字证书应当由权威机
构颁发,以便对标识进行验真,或在出现争执时提供仲裁。构颁发,以便对标识进行验真,或在出现争执时提供仲裁。
7 信息安全案例教程:技术与应用
案例思考:案例思考:
8
1.�1.�在在用户对信息资源的访问过程中用户对信息资源的访问过程中,用户密码(口,用户密码(口
令)起到什么作用?令)起到什么作用?
2.�2.�基于基于用户口令的用户口令的身份认证面临哪些安全威胁?如身份认证面临哪些安全威胁?如
何何确保口令认证确保口令认证的安全性?的安全性?
33.�.�除了使用口令,人们还可以采用哪些方法标识身除了使用口令,人们还可以采用哪些方法标识身
份,进行身份鉴别?份,进行身份鉴别?
信息安全案例教程:技术与应用
.基于口令的用户基于口令的用户身份认证安全性分析身份认证安全性分析
9
用户U
认证请求
认证
系统S
用户ID 密码
admin 123456
chenbo 456789
…… ……
用户信息安全意识不用户信息安全意识不高高;;
口令口令质量不高。质量不高。
攻击者运用社会工程学,攻击者运用社会工程学,
骗取口令骗取口令。。
伪造的登录界面;伪造的登录界面;
在输入密码时被键盘记在输入密码时被键盘记
录器等盗号程序所记录录器等盗号程序所记录
口令在传输过程中口令在传输过程中
被攻击者嗅探到被攻击者嗅探到。。
口令在数据库中口令在数据库中
没有加密保存;没有加密保存;
数据库文件没有数据库文件没有
访问控制访问控制
信息安全案例教程:技术与应用
来看看大家最经常使用的密码是什么吧来看看大家最经常使用的密码是什么吧
.基于口令的用户身份认证安全性分析基于口令的用户身份认证安全性分析
10 信息安全案例教程:技术与应用
使用最多的密码长度是使用最多的密码长度是88位位
竟然不要求长度竟然不要求长度
.基于口令的用户身份认证安全性分析基于口令的用户身份认证安全性分析
11 信息安全案例教程:技术与应用
如何提高口令质量?如何提高口令质量?
对于用户对于用户
增大口令空间。计算口令空间的增大口令空间。计算口令空间的公式公式::S�S�=�=�AA�M�M
选用无规律的口令选用无规律的口令
多个口令多个口令
用工具生成口令用工具生成口令
对于网站对于网站
登录时间限制。登录时间限制。
限制登录次数。限制登录次数。
尽量减少会话透露的信息。尽量减少会话透露的信息。
增加认证的信息量。增加认证的信息量。
.基于口令的用户身份认证安全性分析基于口令的用户身份认证安全性分析
12 信息安全案例教程:技术与应用
CSDN�CSDN�杯最强密码杯最强密码大决大决选选
总冠军:总冠军:ppnn13%%。。
看看不懂不懂??
密码解析密码解析:娉娉袅袅十三余,豆蔻梢头二月初:娉娉袅袅十三余,豆蔻梢头二月初。。
密码解析:密码解析:池池上碧苔三四点,叶底黄鹂一两上碧苔三四点,叶底黄鹂一两声声
13 信息安全案例教程:技术与应用
CSDN�CSDN�杯最强密码杯最强密码大决大决选选((续续1)1)
for_$n(@RenSheng)_$n+="for_$n(@RenSheng)_$n+="diedie""
密码解析:密码解析:人生自古谁无死人生自古谁无死
while(1)Ape1Cry&&Ape2Crywhile(1)Ape1Cry&&Ape2Cry;;
密码密码解析:两岸猿声啼解析:两岸猿声啼不住不住
doWhile(1){LeavesFly();YangtzeRiverFlowsdoWhile(1){LeavesFly();YangtzeRiverFlows
();();
密码密码解析:无边落木萧萧下,不尽长江滚滚来解析:无边落木萧萧下,不尽长江滚滚来
14 信息安全案例教程:技术与应用
CSDN�CSDN�杯最强密码杯最强密码大决大决选选((续续2)2)
Tree_0f0=sprintf("2_Bird_ff0/a");�Tree_0f0=sprintf("2_Bird_ff0/a");�
密码解析:两个黄鹂鸣翠柳密码解析:两个黄鹂鸣翠柳
CaCO3=CaO+CO2CaCO3=CaO+CO2
密码密码解析解析:无语:无语
15 信息安全案例教程:技术与应用
Windows�8�Windows�8�图片密码图片密码
Windows�8Windows�8操作系统增加的操作系统增加的““图片密码图片密码””。。
图片密码方便记忆,省去了用户记忆繁杂口令字符串的过图片密码方便记忆,省去了用户记忆繁杂口令字符串的过
程,且十分便于触控屏用户的使用,用户体验度高;程,且十分便于触控屏用户的使用,用户体验度高;
与口令字符串相比,与口令字符串相比,““图片密码图片密码””不会出现口令窃取以及不会出现口令窃取以及
口令丢失的安全威胁,安全性较好。口令丢失的安全威胁,安全性较好。
16 信息安全案例教程:技术与应用
.基于口令的用户基于口令的用户身份认证安全性分析身份认证安全性分析
用户U
认证请求
认证
系统S
用户ID 密码
admin 123456
chenbo 456789
…… ……
用户信息安全意识不高用户信息安全意识不高,,
口令口令质量不高。质量不高。
口令在传输过程中口令在传输过程中
被攻击者嗅探到被攻击者嗅探到。。
键盘记录器视频键盘记录器视频
攻击者运用社会工程学,攻击者运用社会工程学,
骗取口令骗取口令。。
伪造的登录界面;伪造的登录界面;
在输入密码时被键盘记在输入密码时被键盘记
录器等盗号程序所记录录器等盗号程序所记录
口令在数据库中口令在数据库中
没有加密保存;没有加密保存;
数据库文件没有数据库文件没有
访问控制访问控制
17 信息安全案例教程:技术与应用
保护输入口令保护输入口令
安全控件实质是一种小程序。由各网站依据需要自行编写。安全控件实质是一种小程序。由各网站依据需要自行编写。
当该网站的注册会员登录该网站时,安全控件发挥作用,通过对关键数据进行当该网站的注册会员登录该网站时,安全控件发挥作用,通过对关键数据进行
加密,防止账号密码被木马程序或病毒窃取,可以有效防止木马截取键盘记录。加密,防止账号密码被木马程序或病毒窃取,可以有效防止木马截取键盘记录。
安全控件工作时,从客户的登录一直到注销,实时做到对网站及客户终端数据安全控件工作时,从客户的登录一直到注销,实时做到对网站及客户终端数据
流的监控。就目前而言,由于安全控件的保护,客户的帐号及密码还是相对安流的监控。就目前而言,由于安全控件的保护,客户的帐号及密码还是相对安
全的。全的。
要防止伪装的安全控件。要防止伪装的安全控件。
18 信息安全案例教程:技术与应用
保护输入口令保护输入口令
19 信息安全案例教程:技术与应用
.基于口令的用户基于口令的用户身份认证安全性分析身份认证安全性分析
用户U
认证请求
认证
系统S
用户ID 密码
admin 123456
chenbo 456789
…… ……
用户信息安全意识不高用户信息安全意识不高,,
口令口令质量不高。质量不高。
口令在传输过程中口令在传输过程中
被攻击者嗅探到被攻击者嗅探到。。
局域网密码嗅局域网密码嗅探探
视频视频
攻击者运用社会工程学,攻击者运用社会工程学,
骗取口令骗取口令。。
伪造的登录界面;伪造的登录界面;
在输入密码时被键盘记在输入密码时被键盘记
录器等盗号程序所记录录器等盗号程序所记录
口令在数据库中口令在数据库中
没有加密保存;没有加密保存;
数据库文件没有数据库文件没有
访问控制访问控制
20 信息安全案例教程:技术与应用
使用使用““验证码验证码””实现一次性口令认证实现一次性口令认证
某客户端用户登录界面上设置了某客户端用户登录界面上设置了““验证码验证码””输入框,此验证码输入框,此验证码
是随机值。是随机值。
目前,得到广泛应用的验证码更多的是目前,得到广泛应用的验证码更多的是
CAPTCHA(Completely�Automated�Public�Turing�test�CAPTCHA(Completely�Automated�Public�Turing�test�
to�tell�Computers�and�Humans�Apartto�tell�Computers�and�Humans�Apart,全自动区分计算,全自动区分计算
机和人类的图灵测试机和人类的图灵测试)),是一种主要区分用户是计算机和人的,是一种主要区分用户是计算机和人的
自动程序。自动程序。
这类验证码的随机性不仅可以防止口令猜测攻击,还可以有效这类验证码的随机性不仅可以防止口令猜测攻击,还可以有效
防止攻击者对某一个特定注册用户用特定程序进行不断的登陆防止攻击者对某一个特定注册用户用特定程序进行不断的登陆
尝试,例如防止刷票、恶意注册、论坛灌水等。尝试,例如防止刷票、恶意注册、论坛灌水等。
21 信息安全案例教程:技术与应用
使用使用““验证码验证码””实现一次性口令认证实现一次性口令认证
22 信息安全案例教程:技术与应用
使用使用““验证码验证码””实现一次性口令认证实现一次性口令认证
23 信息安全案例教程:技术与应用
绑定手机的动态口令实现一次性口令认证绑定手机的动态口令实现一次性口令认证
支付宝的支付宝的““手机宝令手机宝令””是一款直接安装在手机客户端上的安全认证是一款直接安装在手机客户端上的安全认证
产品,不需要额外的硬件支持。产品,不需要额外的硬件支持。
用户手机安装了用户手机安装了““手机宝令手机宝令””软件后,该客户端软件与支付宝服务软件后,该客户端软件与支付宝服务
器按照同样的算法运算,软件每器按照同样的算法运算,软件每3030秒与服务器端同步生成一条动秒与服务器端同步生成一条动
态口令。态口令。
用户开启手机宝令的安全服务后,在客户端进行修改密码、支付宝用户开启手机宝令的安全服务后,在客户端进行修改密码、支付宝
支付等操作时,除了需要输入自己的帐号和口令外,还需要输入手支付等操作时,除了需要输入自己的帐号和口令外,还需要输入手
机宝令的动态密码。机宝令的动态密码。
验证用户输入正确之后,用户才能进行下一步操作。验证用户输入正确之后,用户才能进行下一步操作。
24 信息安全案例教程:技术与应用
绑定手机的动态口令实现一次性口令认证绑定手机的动态口令实现一次性口令认证
动态口令也可以与手机号码绑定使用,通过向手机号码发送验证码动态口令也可以与手机号码绑定使用,通过向手机号码发送验证码
来认证用户的身份。来认证用户的身份。
支付宝应用中,用户申请了短信校验服务后,修改账户信息、找回支付宝应用中,用户申请了短信校验服务后,修改账户信息、找回
密码、一定额度的账户资金变动都需要手机校验码确认。密码、一定额度的账户资金变动都需要手机校验码确认。
支付宝服务器会将动态口令,即手机校验码,发送到用户账号注册支付宝服务器会将动态口令,即手机校验码,发送到用户账号注册
时绑定的手机号码上。时绑定的手机号码上。
合法用户可以通过接收手机短信,输入动态口令,完成认证。合法用户可以通过接收手机短信,输入动态口令,完成认证。
当然,如果用户手机丢失,其支付宝账户将面临很大安全风险。当然,如果用户手机丢失,其支付宝账户将面临很大安全风险。
25 信息安全案例教程:技术与应用
使用动态口令牌实现一次性口令认证使用动态口令牌实现一次性口令认证
动态口令牌是一种内置电源、密码生成芯片和显示屏,并根据专门动态口令牌是一种内置电源、密码生成芯片和显示屏,并根据专门
的算法定时自动更新口令的硬件设备。的算法定时自动更新口令的硬件设备。
动态口令牌的使用简单方便,动态口令定时更新,用户只要根据系动态口令牌的使用简单方便,动态口令定时更新,用户只要根据系
统的提示,输入动态口令牌上当前显示的口令即可。统的提示,输入动态口令牌上当前显示的口令即可。
支付宝和中国联通联合推出的支付宝和中国联通联合推出的““宝令宝令””就是一款动态口令卡的产品。就是一款动态口令卡的产品。
用户开启服务后,在进行付款时,需要输入支付密码以及动态口令,用户开启服务后,在进行付款时,需要输入支付密码以及动态口令,
确保账户资金更加安全。确保账户资金更加安全。
26 信息安全案例教程:技术与应用
使用使用USB�KeyUSB�Key增强认证安全性增强认证安全性
USB�KeyUSB�Key是一种包含是一种包含USBUSB接口的硬件设备,它内置单片机或智能接口的硬件设备,它内置单片机或智能
卡芯片,可以存储用户的卡芯片,可以存储用户的密钥密钥或或数字证书数字证书,利用,利用USB�KeyUSB�Key内置的内置的
密码算法实现对用户身份的认证。密码算法实现对用户身份的认证。
基于基于USB�KeyUSB�Key的应用包括支付宝的的应用包括支付宝的““支付盾支付盾””,网上银行的,网上银行的““UU盾盾
””等。等。
““UU盾盾””是银行推出的存放客户证书的安全工具。是银行推出的存放客户证书的安全工具。““UU盾盾””服务于服务于
网上银行的数字认证和电子签名需求。它的工作原理和认证方式网上银行的数字认证和电子签名需求。它的工作原理和认证方式
同同““支付盾支付盾””类似。类似。
““支付盾支付盾””是支付宝推出的安全产品。用户登录支付宝进行在线支是支付宝推出的安全产品。用户登录支付宝进行在线支
付时,需要插入包含用户数字证书的支付盾,服务器验证数字证付时,需要插入包含用户数字证书的支付盾,服务器验证数字证
书的真实性之后,用户才能进行支付操作书的真实性之后,用户才能进行支付操作
27 信息安全案例教程:技术与应用
使用智能卡增强认证安全性使用智能卡增强认证安全性
智能卡(智能卡(Smart�CardSmart�Card)是一种更为复杂的凭证。它是一种将具有)是一种更为复杂的凭证。它是一种将具有
加密、存储、处理能力的集成电路芯片嵌装于塑料基片上而制成的加密、存储、处理能力的集成电路芯片嵌装于塑料基片上而制成的
卡片。卡片。
智能卡一般由微处理器、存储器等部件构成。为防止智能卡遗失或智能卡一般由微处理器、存储器等部件构成。为防止智能卡遗失或
被窃,许多系统需要智能卡和个人识别码被窃,许多系统需要智能卡和个人识别码PINPIN同时使用。同时使用。
28 信息安全案例教程:技术与应用
使用生物特征、生物行为增强认证安全性使用生物特征、生物行为增强认证安全性
虽然网上银行广泛使用的虽然网上银行广泛使用的UU盾认证方式相比于盾认证方式相比于““用户名用户名++口令口令””的的
方式安全性要高,但它仍然有许多缺点,例如需要随时携带方式安全性要高,但它仍然有许多缺点,例如需要随时携带UU盾,盾,
也容易丢失或被窃。也容易丢失或被窃。
与这两种认证方式相比,利用用户本身的特征进行认证,也就基于与这两种认证方式相比,利用用户本身的特征进行认证,也就基于
生物的认证技术(生物的认证技术(BiometricsBiometrics),具有无法比拟的优点:),具有无法比拟的优点:用户不用户不
必再记忆和设置密码,使用更加方便。必再记忆和设置密码,使用更加方便。
生物特征认证技术已经成为目前公认的、最安全和最有效的身份认生物特征认证技术已经成为目前公认的、最安全和最有效的身份认
证技术,将成为证技术,将成为ITIT产业最为重要的技术革命。产业最为重要的技术革命。
29 信息安全案例教程:技术与应用
使用生物特征、生物行为增强认证安全性使用生物特征、生物行为增强认证安全性
基于击键特征的身份认证是利用一个人敲击键盘的行为特征进行身基于击键特征的身份认证是利用一个人敲击键盘的行为特征进行身
份认证。击键行为特征包括份认证。击键行为特征包括击键间隔击键间隔、、击键持续时间击键持续时间、、击键位置击键位置,,
甚至甚至击键压力击键压力等。等。
北京微通新成网络科技有限公司的北京微通新成网络科技有限公司的““键盘芭蕾键盘芭蕾””就是一款静态口令就是一款静态口令
认证和击键特征认证相结合的双因素身份认证产品,它不仅会检测认证和击键特征认证相结合的双因素身份认证产品,它不仅会检测
用户输入的账号和密码是否正确,而且还收集用户的击键间隔、击用户输入的账号和密码是否正确,而且还收集用户的击键间隔、击
键持续时间等击键特征。只有用户的静态口令输入正确且击键特征键持续时间等击键特征。只有用户的静态口令输入正确且击键特征
与系统用户相符,用户才能通过身份认证。与系统用户相符,用户才能通过身份认证。
30 信息安全案例教程:技术与应用
.基于口令的用户基于口令的用户身份认证安全性分析身份认证安全性分析
用户U
认证请求
认证
系统S
用户ID 密码
admin 123456
chenbo 456789
…… ……
用户信息安全意识不高用户信息安全意识不高,,
口令口令质量不高。质量不高。
口令在传输过程中口令在传输过程中
被攻击者嗅探到被攻击者嗅探到。。
攻击者运用社会工程学,攻击者运用社会工程学,
骗取口令骗取口令。。
伪造的登录界面;伪造的登录界面;
在输入密码时被键盘记在输入密码时被键盘记
录器等盗号程序所记录录器等盗号程序所记录
口令在数据库中口令在数据库中
没有加密保存;没有加密保存;
数据库文件没有数据库文件没有
访问控制访问控制
31 信息安全案例教程:技术与应用
对口令数据库等重要资源的防护对口令数据库等重要资源的防护
32
资源资源
用户用户
身份标识与鉴别身份标识与鉴别
访问授权与控制访问授权与控制
日志记录与审计日志记录与审计
加密、哈希等加密、哈希等
管理等安全措施管理等安全措施
信息安全案例教程:技术与应用
.基于口令的用户基于口令的用户身份认证安全性分析身份认证安全性分析
用户U
认证请求
认证
系统S
用户ID 密码
admin 123456
chenbo 456789
…… ……
用户信息安全意识不高用户信息安全意识不高,,
口令口令质量不高。质量不高。
口令在传输过程中口令在传输过程中
被攻击者嗅探到被攻击者嗅探到。。
攻击者运用社会工程学,攻击者运用社会工程学,
骗取口令骗取口令。。
伪造的登录界面;伪造的登录界面;
在输入密码时被键盘记在输入密码时被键盘记
录器等盗号程序所记录录器等盗号程序所记录
口令在数据库中口令在数据库中
没有加密保存;没有加密保存;
数据库文件没有数据库文件没有
访问控制访问控制
33 信息安全案例教程:技术与应用
案例思考:案例思考:
34
1.�1.�在在用户对信息资源的访问过程中用户对信息资源的访问过程中,用户密码(口,用户密码(口
令)起到什么作用?令)起到什么作用?
2.�2.�基于基于用户口令的用户口令的身份认证面临哪些安全威胁?如身份认证面临哪些安全威胁?如
何何确保口令认证确保口令认证的安全性?的安全性?
33.�.�除了除了使用口令,使用口令,人们还可以采用哪些方法标识身人们还可以采用哪些方法标识身
份,进行身份鉴别份,进行身份鉴别??
信息安全案例教程:技术与应用
案例思考:案例思考:
35
1.�1.�在在用户对信息资源的访问过程中用户对信息资源的访问过程中,用户密码(口,用户密码(口
令)起到什么作用?令)起到什么作用?
2.�2.�基于基于用户口令的用户口令的身份认证面临哪些安全威胁?如身份认证面临哪些安全威胁?如
何何确保口令认证确保口令认证的安全性?的安全性?
3.�3.�除了使用口令,人们还可以采用哪些方法标识身除了使用口令,人们还可以采用哪些方法标识身
份,进行身份鉴别?份,进行身份鉴别?
信息安全案例教程:技术与应用
3.�3.�身份认证技术身份认证技术
身份认证过程中,需要将主体的账号与凭证这两类身份信身份认证过程中,需要将主体的账号与凭证这两类身份信
息与保存的初始设定的进行比对,以此判定主体身份的真息与保存的初始设定的进行比对,以此判定主体身份的真
实性。实性。
常用的常用的33种凭证信息是:种凭证信息是:
11))用户所知道的用户所知道的((What�you�knowWhat�you�know),如要求输入),如要求输入
用户的口令、密钥或是图片密码中记忆的动作等;用户的口令、密钥或是图片密码中记忆的动作等;
22))用户所拥有的用户所拥有的((What�you�haveWhat�you�have),如),如USB�KeyUSB�Key
、、UU盾、智能卡等物理识别设备;盾、智能卡等物理识别设备;
33))用户本身的特征用户本身的特征((What�you�areWhat�you�are),如用户的指),如用户的指
纹、声音、视网膜等生理特征以及击键等行为特征。纹、声音、视网膜等生理特征以及击键等行为特征。
36 信息安全案例教程:技术与应用
3.�3.�身份认证技术身份认证技术
一般情况下,可以通过多一般情况下,可以通过多个凭证(个凭证(也有称多因子)也有称多因子)
来共同鉴别用户身份的真伪来共同鉴别用户身份的真伪。。
我们我们在银行在银行ATMATM机上取款需要插入银行卡,同时机上取款需要插入银行卡,同时
需要输入银行卡密码,就是采用了双因子认证需要输入银行卡密码,就是采用了双因子认证。。
认证认证的因子越多,鉴别真伪的可靠性就越大的因子越多,鉴别真伪的可靠性就越大。。
当然当然,在设计认证机制时需要考虑认证的方便性,在设计认证机制时需要考虑认证的方便性
和性能等综合因素和性能等综合因素。。
37 信息安全案例教程:技术与应用
本讲主要内容:本讲主要内容:
38
1.�1.�在用户对信息资源的访问过程中,用户密码(口令)起到在用户对信息资源的访问过程中,用户密码(口令)起到
什么作用?什么作用?
1.�1.�身份认证的概念身份认证的概念
2.�2.�基于用户口令的身份认证面临哪些安全威胁?如何确保口基于用户口令的身份认证面临哪些安全威胁?如何确保口
令认证的安全性?令认证的安全性?
2.�2.�基于口令的用户身份认证安全性分析基于口令的用户身份认证安全性分析
3.�3.�除了使用口令,人们还可以采用哪些方法标识身份,进行除了使用口令,人们还可以采用哪些方法标识身份,进行
身份鉴别?身份鉴别?
3.�3.�身份认证技术身份认证技术
信息安全案例教程:技术与应用
