您好,欢迎访问山东渔翁信息技术股份有限公司官方网站
渔翁信息

专注密码硬件研发生产定制

咨询热线: 400-6686-188

产品中心

热门产品

联系我们

咨询热线:400-6686-188

市场合作:孙经理:13806311977

售后服务:房经理:0631-5651692

邮箱:support@fisherman-it.com

地址:济南市高新区齐鲁软件园F座

新闻中心 您的位置:首页 > 新闻中心 >

基于口令身份鉴别系统

文章出处:渔翁信息作者:渔翁信息人气:发表时间:2018-11-29 16:01

用户名/口令为最简单也最常用的身份鉴别机制,它属于利用“所知道的信息”进行鉴别的手段。口令是实体之间共享的一个秘密,在通信时,其中一方给另一方提交口令,说明自己了解此秘密,因而由另一方的鉴别。口令一般是一组字符串构成的,为方便用户记忆,一般用户用的口令均有长度的限制。传统的口令认证方式是先建立用户账户,然后给每个用户的账户分配1个口令。用户登录先发送一个含用户账户与口令的请求登录信息,主机系统根据存储在用户数据库中的用户账户与口令进行验证。如果正确则允许登录,反之拒绝。

用户名/口令是较脆弱的身份鉴别机制。它的安全性依靠口令的机密性,口令只要泄露,用户就能被冒充。有的用户为了避免忘记口令,用像自己或家人的生日、电话号码等易被他人猜到的有意义的字符串作口令,或将口令抄在觉得安全的地方,这些行为超易导致口令泄露。除此之外,因口令是静态的数据,在鉴别过程中会在内存中出现,经过网络传输,而每次鉴别过程使用的数据都是相同的,很容易被木马程序截获。

具体来说,以下攻击是基于用户名/口令的身份鉴别难以抵御的安全威胁:

字典攻击:攻击者可列举全部用户会选的密码后生成1个文件,这样的文件被称为“字典”。当攻击者有了某些和密码相关的能验证信息后,就可根据字典实施一连串的运算,从而猜出用户可能的密码,并用获取的信息对猜的正确性进行验证。

暴力破解:也叫“蛮力破解”或“穷举攻击”,是一种特殊的字典攻击。这里用的字典是字符串的全集,猜测可能有的全部组合,直至获取正确的信息为止。

键盘监听:按键记录软件通过木马方式植入用户的计算机后,可偷偷地记下用户的所有按键动作,以此窃取用户输入的口令,并由预定计划将收集的信息以电子邮件等手段发出去。

搭线窃听:通过嗅探网络、窃听网络通信数据来得到口令。目前常见的 Telnet、FTP、HTP等多种网络通信协议都用明文传输口令,这表示在客户端与服务器间传输的信息均有可能被窃取。

窥探:攻击者借助与用户接近的机会,安装监控或亲自窥视合法用户的账户与密码。窥探也含植入木马进用户计算机中。

社会工程学:利用受害者的心理弱点、本能反应、好奇心、信任、贪婪等设置陷阱进行欺骗、伤害,从而得到秘密信息。

垃圾搜索:攻击者搜集被攻击者的废弃物,从而获取和口令相关的信息。

  1. 一键分享到

返回顶部