身份与访问安全——身份认证.pptx

身份与访问安全——基于口令的认证案例与分析 南京师范大学计算机科学与技术学院 陈 波 2011年12月21日上午，中国最大的开发者技术社区CSDN网站遭到黑客攻击，600余万用户资料遭泄露。 此后陆续几天，天涯、人人、当当、凡客、卓越、开心、多玩等多家网站，相继被曝出密码遭网上公开泄露。 目前，网上公开暴露的网络账户密码已超1亿个，包含用户密码的数据包仍然可以在网上找到下载。 国内最大的漏洞报告平台——乌云（）上还在不断有用户密码泄漏事件公布。 案例：国内著名网站用户密码泄露事件 信息安全案例教程：技术与应用 2 案例思考： 3 1. 在用户对信息资源的访问过程中，用户密码（口令）起到什么作用？ 2. 基于用户口令的身份认证面临哪些安全威胁？如何确保口令认证的安全性？ 3. 除了使用口令，人们还可以采用哪些方法标识身份，进行身份鉴别？ 信息安全案例教程：技术与应用 1. 身份认证的概念 用户密码，严格地称为用户口令，实际上在人们的信息资源活动中起到标识用户身份，并依此进行身份认证的作用，防止非授权访问。 身份认证（Authentication）是证实实体（Entity）对象的数字身份与物理身份是否一致的过程。身份认证技术能够有效防止信息资源被非授权使用，保障信息资源的安全。 这里的实体可以是用户，也可以是主机系统。 4 信息安全案例教程：技术与应用 1. 身份认证的概念 在计算机系统中，身份（Identity）是实体的一种计算机表达，计算机中的每一项事务是由一个或多个唯一确定的实体参与完成的，而身份可以用来唯一确定一个实体。 根据实体的不同，身份认证通常可分为用户与主机间的认证和主机与主机之间的认证，不过实质上，主机与主机之间的认证仍然是用户与主机系统的认证。 5 信息安全案例教程：技术与应用 1. 身份认证的概念 身份认证分为两个过程：标识与鉴别。 标识（Identification）就是系统要标识实体的身份，并为每个实体取一个系统可以识别的内部名称——标识符ID。 识别主体真实身份的过程称为鉴别（Authentication），也有称作认证或验证。 户名或账户就可以作为身份标识。为了对主体身份的正确性进行验证，主体往往还需要提供进一步的凭证，例如密码（口令）、令牌或是生物特征。 系统会将主体提供的账号和凭证这两类身份信息与先前已存储的该主体的身份信息进行比较，如果相匹配，那么主体就通过了身份鉴别。 考虑到身份鉴别是身份认证的重要组成部分，鉴别与标识也紧密联系，所以后面不再对认证和鉴别做区分。 6 信息安全案例教程：技术与应用 1. 身份认证的概念 创建和发布的身份信息必须具有3个特性： 1）唯一性。标识符必须是唯一的且不能被伪造，防止一个实体冒充另一个实体。不同的计算机系统、不同的应用中，可以使用不同的方式来标识实体的身份：可以是一个唯一的字符串，可以是一张数字证书（类似于现实生活中的居民身份证），也可以是主机IP地址或MAC地址（Media Access Control，媒介访问控制）。 例如： Windows系统的登录用户名和口令标识了一个用户的身份； 打开Office文档的口令标识了用户的身份； 校园网用户登录学校图书馆资源时根据用户的IP地址确认用户主机的合法身份等。 7 信息安全案例教程：技术与应用 1. 身份认证的概念 创建和发布的身份信息必须具有3个特性： 2）非描述性。任何身份的标识都不能表明账户的目的，例如Administrator这样的身份标识对于攻击者太具有诱惑力了。 3）权威签发。有的身份标识，如数字证书应当由权威机构颁发，以便对标识进行验真，或在出现争执时提供仲裁。 8 信息安全案例教程：技术与应用 案例思考： 9 1. 在用户对信息资源的访问过程中，用户密码（口令）起到什么作用？ 2. 基于用户口令的身份认证面临哪些安全威胁？如何确保口令认证的安全性？ 3. 除了使用口令，人们还可以采用哪些方法标识身份，进行身份鉴别？ 信息安全案例教程：技术与应用 2.基于口令的用户身份认证安全性分析 10 用户U 认证请求 认证 系统S 用户ID 密码 admin 123456 chenbo 456789 …… …… 用户信息安全意识不高； 口令质量不高。 攻击者运用社会工程学， 骗取口令。 伪造的登录界面； 在输入密码时被键盘记 录器等盗号程序所记录 口令在传输过程中 被攻击者嗅探到。 口令在数据库中 没有加密保存； 数据库文件没有 访问控制 信息安全案例教程：技术与应用 来看看大家最经常使用的密码是什么吧 2.基于口令的用户身份认证安全性分析 11 信息安全案例教程：技术与应用 使用最多的密码长度是8位 竟然不要求长度 2.基于口令的用户身份认证安全性分析 12 信息安全案例教程：技术与应用 如何提