口令是最简单也最常用的一种接入控制与身份认证手段。所谓简单口令就是日常生活中经常使用的口令,普通老百姓常称之为“密码”,在分布式环境与移动应用领域更被广泛使用,到目前很多系统的认证技术都基于简单口令。系统提前保存用户的身份信息与口令字。当被认证对象提出访问服务的系统时,给出服务的认证方需被认证对象提交口令信息,认证方收到口令后,比较它和系统里存储的用户口令,来辨认被认证对象是不是合法访问者。这种认证方式叫做简单口令协议(PAP)认证。
PAP协议只操作于连接建立阶段,数据传输过程中不实施PAP认证。
这种认证方法的好处是简单有效、实用便捷、费用低廉、使用灵活,因此,一般系统如UNIX、Windows NT、NetWare等都可支持口令认证,对封闭的小型系统而言也算是一种简单行得通的方法。然而,基于口令的认证方法显然有如下不足。
(1)用户每访问系统的时候均需通过明文的方式输进口令,很轻易让内存中运行的黑客软件记下从而导致泄密。
(2)口令在传输时可能会遭遇截获。因用明文在网络上传输,只要局域网内存在Sniffer,那么一点没有安全性可言。
(3)窃取口令者只需口令的位数比较少,也无需生僻的字符做口令,用如今的计算速度破解口令并不难。
(4)认证系统集中管理口令的安全性。全部用户的口令通过文件或数据库存储形式存于认证方,攻击者可用服务系统中有的漏洞获取用户口令。
(5)发放与修改口令均会涉及到非常多的安全性问题,仅需要有个环节发生泄露,那么身份认证也就没有了意义。
(6)为方便记忆,用户很可能向多个不一样安全级别的系统均设置了同样的口令,低安全级别系统的口令很易让攻击者取得,从而用于攻击高安全级别系统。
(7)只可实施单向认证,也就是系统可认证用户,但用户无法认证系统。攻击者可能装为认证系统骗用户的口令。
基于口令的认证方法仅是认证的初期阶段,有特别多的安全隐患。对口令认证协议的主要攻击手段有口令猜测攻击、中间人攻击、窃取凭证攻击、拒绝服务攻击等。目前的口令认证协议如果能抵抗以上攻击则认为是安全的。
口令的加密传输与存储是简单口令机制的改进手段。因传的为用户口令的密文形式,系统只存储口令的密文,除此之外系统入侵者还能借助离线方式向口令密文进行字典攻击。
