===========================================================================
身份认证的概念:用户要向系统证明他就是他所声称的那个人。
-
识别:明确访问者的身份(信息公开)
-
验证:对访问者声称的身份进行确认(信息保密)
身份认证的作用:
-
限制非法用户访问网络资源。
-
安全系统中的第一道关卡,是其他安全机制基础。
-
一旦被攻破,其他安全措施将形同虚设。
=================================================================================
验证用户身份的方法:
-
用户知道的东西:如口令、密码等。
-
拥有的东西:如智能卡、通行证、USB Key。
-
用户具有的生物特征:如指纹、脸型、声音、视网膜扫描、DNA等。
-
用户行为特征:如手写签字、打字韵律等。
对口令的攻击:
-
联机攻击:联机反复尝试口令进行登录
-
脱机攻击:截获口令密文后进行强力攻击
(1) 直接明文存储口令
- 风险大
任何人只要得到存储口令的数据库,就可得到全体人员(包括最高管理员)的口令。
- 多用于权限提升
(2) Hash散列存储口令
-
口令 x 的散列值 F(x) 又叫通行短语(Pass phrase)
-
散列函数为文件、报文或其他数据产生“数字指纹”
认证方法:
-
系统的口令文件中存储每个用户的账号和口令散列值对;
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
