通用操作系统保护课件.pptVIP

4.5.1 口令鉴别(续) 口令实际上是相互达成一致的字码，并假定只有用户和系统知道这个字码。口令可以由用户选择也可以是系统分配。口令格式和长度各个操作系统会有所不同。 口令也存在一些问题： 丢失 ：根据口令的实现方法，没有人能找回原来的口令。 使用：每次访问文件，都要求提供口令，这种方式非常不方便。 泄露：如果口令泄露给非授权个体，则文件就可能被非法访问。更改口令需要通知所有合法用户。 撤消：为了撤消一个用户对文件的访问权限，需要更 改口令，将引起与泄露口令相同的问题。 精品 4.5.2 附加的鉴别信息 除用户名和口令之外，可能还需要授权用户的其他信息来用于鉴别。如Adams工作于会计部门，他允许的登录办公计算机的时间可以是周一至五的上午8:00至下午5:00。这样做的好处在于： (1) 阻止外界的某个人试图假冒Adams。这种尝试由于时间或访问端不符合而以失败告终。 (2) 阻止Adams本人试图在家或在周末访问系统，访问不允许使用的资源或偷偷地干不能公开的事情。 副作用：使系统复杂化。 精品 4.5.2 附加的鉴别信息(续) 使用附加的鉴别信息称为多因素鉴别(multifactor authentication)。两种形式的鉴别称为两因素鉴别(two-factor authentication)，通常认为比一种形式的鉴别好，因为一般地说这样的鉴别安全性更强。但随之而来的是复杂度增加。 精品 4.5.3 口令攻击 有几种方法可以确定用户口令： (1) 尝试所有可能的口令 (2) 尝试经常使用的口令 (3) 尝试一个用户可能的口令 (4) 查找系统口令表 (5) 询问用户 # 困难程度依次降低，成功可能性依次降低 精品 4.5.3 口令攻击(续) 松懈的系统 假设一个对系统一无所知的入侵者，如下登录设计不好： WELCOME TO THE XYZ COMPUTING SYSTEMS ENTER USER NAME: adams INVALID USER NAMEUNKNOWN USER ENTER USER NAME: 精品 4.5.3 口令攻击(续) 改进的设计为： WELCOME TO THE XYZ COMPUTING SYSTEMS ENTER USER NAME: adams ENTER PASSWORD: john INVALID ACCESS ENTER USER NAME: 精品 4.5.3 口令攻击(续) 更好的设计为： ENTER USER NAME: adams ENTER PASSWORD: john INVALID ACCESS ENTER USER NAME: adams ENTER PASSWORD: johnq WELCOME TO THE XYZ COMPUTING SYSTEMS 精品 4.5.3 口令攻击(续) 穷举法攻击 在穷举法攻击(exhaustive attack)或暴力攻击(brute force attack)中，攻击者通过某种自动的方式尝试所有可能的口令。当然，可能口令的数量取决于特定计算系统的实现情况。搜索特定的口令不需要尝试所有口令，而只需要测试到正确口令为止。如果口令均匀分布，只需要测试一半的口令。 精品 4.5.3 口令攻击(续) 很可能的口令 大多数用户都会选择短的，常见的，容易拼写或发音的单词作为口令。攻击者在搜索口令时意识到这一特点，并有效利用它。许多计算系统都带有拼写检验程序，用于检查文件中拼写错误和印刷错误，通常这些程序包含最常用的单词在线词典，以这些词作为搜索集合，通常需要的时间非常短。 精品 4.3.1 目录(续) 图 4.10 访问目录 精品 4.3.1 目录(续) 为每个用户维护一张文件目录列表，虽然比较易于实现，但也存在几个困难之处： (1) 如果所有用户都可以访问的共享对象很多，将造成列表很大。在用户访问目录中，每个即使不用的共享对象也要占一个表项，十分浪费，而删除共享对象也必须反映到每个用户目录中。 精品 4.3.1 目录(续) (2) 另一个难点是撤消访问权限(revocation of access)。如果用户A授予用户B可读文件F的权限，F的权限将记入用户B的访问目录中。暗示用户A和用户B存在信任关系。当然，用户A也可以撤消用户B对文件F的权限。但是如果用户A要撤消所有用户对文件F的权限，这项工作在大系统中开销很大。此外，用户B可能将文件F的权限转交给了其他用户，造成用户A不知道