根据口令的认证方法是一种单因素的认证,它的安全性依赖于密码。每个用户只要能够正确输入密码,计算机就以为操作者就是合法用户。实际上,因为许多用户为了防止忘记密码,常常选用比如生日电话号码等简单被猜想的字符串作为密码,或把密码抄在纸上放在一个自以为安全的地方,这样容易使密码泄露。
由于密码是静态的数据,每次验证运用的验证信息都是相同的, 在验证过程中需要在计算机内存中和网络中传输,因而也很简单被潜藏在计算机中的木马或网络中的监听设备截获;因此常规的口令即便能保证用户密码不被泄露。
有些用户一般是把口令通过加密后放在口令文件中,假如口令文件被盗取,那么就能够进行离线的字典攻击。因而,从安全性上讲,用户名/密码方法是一种极不安全的身份认证方法。根据口令的认证方法的改进考虑以下几个方面:
(1)尽可能地选用易记、难猜、抗分析能力强、能较好地抵抗离线字典攻击和在线字典攻击的口令。修正口令挂号程序以便促运用户运用更加冷僻的口令,这样就进一步削弱了字典攻击。
(2)对口令的存储加密,尽可能地选用Hash散列值方式存储口令。
(3)选用动态口令认证技术。
①口令表认证技术。
口令表认证技术是要求用户提供一张记录有一系列口令的表,并将表保存在系统中,系统为该表设置了一指针用于指示下次用户登录时所应运用的口令。
这样,用户在每次登录时,登录程序便将用户输入口令与该指针所指示的口令相比较,若相同便答应用户进入系统,一起将指针指向表中的下一个口令。
因而,运用口令表认证技术,即便攻击者知道本次用户登录时所运用的口令,他也无法进入系统。
②双因子认证技术。
一般运用的计算机的口令是静态的,也就是说在一定的时刻内是不变的,并且能够重复运用。口令极易被网上嗅探劫持,并且很简单遭到字典攻击。
