利用口令进行用户身份认证是目前最常用的技术,在目前差不多所有需要对数据进行保密的系统中,都引入了口令认证机制,其主要的好处是简单易行。通常,每当用户要登录时,系统都要求用户输入用户名与口令,登录程序用用户名查找用户注册表或口令文件:在注册表或口令文件中,每一个已注册的用户都有一个表项,记录用户对应的用户名和密码;登录程序找到匹配的用户名后,再比较用户名对应的输入口令是否与注册表或口令文件中对应的口令一致:若一致,系统就认为此用户是合法的,并可让进入该系统,反之将拒绝该用户登录,实际上这是静态口今认证。
1.安全口令
口令是由数字、字母或字母与数字混合构成,可由用户选择,还能通过系统随机产生,系统产生的口令不方便记忆,用户选择的口令尽管容易记忆,但如果选择不恰当,也容易被攻击者猜中。为避免攻击者猜出口令,选择安全的口令应符合以下要求:口令长度适中;没有返回显示;记录和报告;自动断开;密码存储安全性。
2.静态口令认证技术
静态口令认证通常有这两个阶段:第1阶段为身份识别,明确认证对象是哪位;第2阶段为身份验证,得到身份信息后验证。
一个简单的静态口令认证过程是弹出一个窗口,同时用户输入用户名与“仅他自己知道”的静态口令, 一旦验证了用户名和静态密码,用户就可以让系统分配权限以执行相应的操作。
3.动态口令认证技术
静态口令认证技术实际上在一定时间内口令不变,且可重复使用。由于口令极易被嗅探窃取,还易受到穷举攻击。为了将因口令泄露造成的损失降至最小,用户应经常更换口令,更改口令的周期可按实际情况定为1个月、1个星期或1天,一种极端的做法是用一次性口令认证技术,本质上即为动态口令认证技术。实现动态口令认证的技术有多种,其中口令表认证技术与双因子认证技术是最常用的。
