网络攻防原理与技术 第3版 教案 -第7讲 身份认证与口令攻击.docx

内容

备注

《网络攻防原理与技术》课程教案

讲课题目：第七讲身份认证与口令攻击

目的要求：了解身份认证的基本原理；了解动态口令认证的常见方法；了解口令认证的主要威胁；掌握口令行为规律；掌握口令猜测攻击的主要方法；了解口令防御的主要原则。

重点难点：口令行为规律；掌握口令猜测攻击的主要方法。

方法步骤：理论讲授。

器材保障：电脑、投影仪。

主要教学内容:

一、身份认证概述

(一)身份认证的基本概念

身份认证这种认证形式可以将非授权用户屏蔽在系统之外，它是信息系统的第一道安全防线，其防护意义主要体现在两方面。首先，防止攻击者轻易进入系统，在系统中收集信息或者进行各类攻击尝试。其次，有利于确保系统的可用性不受破坏。信息系统的资源都是有限的，非授权用户进入系统将消耗系统资源，如果系统资源被耗尽，正常的系统用户将无法获得服务。

身份认证可以基于以下四种与用户有关的内容之一或它们的组合实现：

1)所知。个人所知道的或所掌握的知识或信息，如密码、口令；

2)所有。个人所具有的东西，如身份证、护照、信用卡、智能门卡等；

3)所在。个人所用计算机的IP地址、办公室地址等；

4)用户特征。主要是个人生物特征，如指纹、笔迹、声纹、手形、脸形、视网膜、虹膜、DNA，还有个人的一些行为特征，如走路姿态、击键动作、笔迹等。

目前，身份认证技术主要包括口令认证、信物认证、地址认证、用户特征认证和密码学认证。

(二)口令认证

口令一般分为静态口令和动态口令。身份认证的口令认证大部分使用的是静态口令。

1.静态口令认证

静态口令的基本原理是：用户在注册阶段生成用户名和初始口令，系统在其用户文件或数据库中保存用户的信息列表（用户名和口令）。当用户登录认证时，将自己的用户名和口令上传给服务器，服务器通过查询其保存的用户信息来验证用户上传的认证信息是否与保存的用户信息相匹配。如果匹配则认为用户是合法用户，否则拒绝服务，并将认证结果回传给客户端。用户定期改变口令，以保证安全性。这种口令因其实现简单、使用方便，得到了广泛应用。

静态口令面临的安全威胁包括：

（1）口令监听。

很多网络服务在询问和验证远程用户认证信息时，认证信息都是以明文形式进行传输，如Telnet、FTP、HTTP等都使用明文传输，这意味着网络中的窃听者只需使用协议分析器就能查看到认证信息，从而分析出用户的口令。

（2）截取/重放。

有的系统会将服务器中用户信息加密后存放，用户在传输认证信息时也先进行加密，这样虽然能防止窃听者直接获得明文口令，但使用截取/重放攻击，攻击者只要在新的登录请求中将截获的信息提交给服务器，就可以冒充登录。

（3）穷举攻击。

也称为暴力破解，是字典攻击的一种特殊形式。一般从长度为1的口令开始，按长度递增，尝试所有字符的组合方式进行攻击。穷举攻击获取密码只是时间问题，是密码的终结者。

虽然理论上可以用计算机进行穷举，但实际应用中，很多系统会对短时间内尝试口令输入的次数进行限制，此时穷举是不可行的。因此，需要增加一些其他信息，如用户个人信息、常用口令等，来提高破解口令的可能性。

（4）简单口令猜测。

很多用户使用自己或家人的生日、电话号码、房间号码、简单数字或者身份证号码中的几位作为口令。在详细了解用户的社会背景之后，黑客可以列举出多种可能的口令，并在很短的时间内完成猜测攻击。此外，很多用户不更改系统或设备的默认用户名和口令，这也使得口令很容易被破解。

（5）字典攻击。

字典攻击采用口令字典中事先定义的常用字符去尝试匹配口令。口令字典是一个很大的文本文件，可以通过自己编辑或者由字典工具生成，里面包含了单词和数字的组合，或黑客收集的一些常见口令。

（6）伪造服务器攻击。

攻击者通过伪造服务器来骗取用户认证信息，然后冒充用户进行正常登录。

（7）口令泄露。

攻击者通过窥探、社会工程、垃圾搜索、植入木马等手段，窃取用户口令；或用户自己不慎将口令告诉别人；或将口令写在某处被别人看到，造成口令的泄露。

（8）直接破解系统口令文件。

攻击者可以寻找目标主机的安全漏洞和薄弱环节，窃取存放系统口令的文件，然后离线破译加密过的口令，从而得到系统中所有用户名和口令。

2.动态口令认证

动态口令也叫一次性口令（One-TimePassword,OTP），一般使用双运算因子来实现：固定因子，即用户的口令或口令散列值；动态因子，每次不一样的因子，如时间，把流逝的时间作为变动因子，用户密码产生器和认证服务器产生的密码在时间上必须同步；事件序列，把变动的数字序列作为密码产生器的一个运算因子，加上用户的口令或口令散列值一起产生动态密码；挑战/应答，由认证服务器产生的随机数字序列（