CH3使用者身份鉴别.pptVIP

黃明祥使用者身份鑑別

(UserAuthentication)本章內容3.1前言3.2使用者身份鑑別方式3.3通行密碼的安全威脅3.4通行密碼管理3.5使用者身份鑑別處理過程3.6登入種類3.7各種通行密碼技術3.8Kerberos身份鑑別系統3.9使用者終端設備之驗證3.1前言使用者身份識別主要是要辨識某人是否為合法的系統使用者。可分為二部份：使用者身份(Identity)及鑑別(Authentication)。不但要能夠唯一識別使用者身份，而且必須要有方法來預防歹徒冒充別人身份的能力。可說是電腦的守護神。3.2使用者身份鑑別方式生物特性驗證生理結構唯一性人的生理結構有些具有唯一性。例如指紋(FingerPrint)、手形(HandShape)、及眼紋(RetinaPrint)等等均不相同。行為差異性主要是一些行為習慣之不同。例如每個人因為音頻、音律、及音量等等不盡相同，因此都有各自獨特的聲音(Voice)。每個人寫字力道、字型、及字體等等不盡相同，因此每個人都有獨特的筆跡(SignatureandWrite)。每個人打鍵盤的速度及力道有所差異，且使用滑鼠之習慣亦不盡相同。通行密碼(Password)之安全威脅重送攻擊法(ReplayingAttack)攔截使用者的通行密碼，重新輸入到主機系統，以通過系統驗證。行騙法(Spoofing)類似金光黨的行騙手法。駭客模擬主機系統之登入(Login)畫面及其處理步驟，以騙取使用者密碼。通行密碼選擇的原則選擇一個不易被猜中且長度合理的通行密碼，通常至少要有8個字母以上長度，合理長度為8至12個字母。避免使用字典中可以找到的單字當作通行密碼，並最好在通行密碼中摻雜一些數字及分辨大小寫。勿將通行密碼寫在筆記本及其他任何地方。避免選擇單字、與個人相關特性資料、以及鍵盤排列。避免多台主機系統共用相同通行密碼。3.5使用者身份驗證處理過程使用者身份識別系統分成三個階段1.註冊階段先向系統管理員申請帳號。將使用者身份鑑別碼及通行密碼分配給使用者個人保管，系統並儲存這些資訊在「系統資源單元」。2.進入系統階段出示身份，並由「讀取資料終端設備單元」輸入通行密碼。3.驗證階段系統在「身份鑑別處理單元」驗證使用者身份及通行密碼是否為合法使用者。3.6登入種類依照「讀取資料終端設備單元」及「身份鑑別處理單元」之間距離及其連線媒介,分以下七種:直接登入(DirectLogins)或本機登入本地登入(LocalLogins)撥接登入(DialupLogins)遠端登入(RemoteLogins)網路芳鄰登入(DistributedLogins)網路登入(NetworkLogins)代理登入(ProxyLogins)批次登入(BatchLogins)子處理登入(SubprocessLogins)3.7各種通行密碼技術直接儲存法時戳法亂數法3.8Kerberos身份鑑別系統更安全的Kerberos使用者身份驗證系統*使用者身份鑑別?TheMcGraw-HillCompanies,Inc.,2005*?TheMcGraw-HillCompanies,Inc.,2005?身份識別(Identification)?身份驗證(Authentication)Username:iclinPassword:a23dsfsx使用者身份辨識類型證件驗證(SomethingHeld)-條碼卡、磁卡、IC卡、智慧卡(SmartCard)生物特徵驗證(SomethingEmbodied)-生理結構唯一性：指紋、手紋、眼紋-行為差異性：聲音、筆跡、鍵盤、滑鼠通行密碼驗證(SomethingKnown)-Username、Password生物特徵驗證設備之評估錯誤接受率(FalseAcceptRate)-不合法使用者卻被驗證為合法使用者錯誤拒絕率(FalseRejectRate)-合法使用者卻被誤認為不合法使用者活體驗證功能(LiveDieVerify)驗證時間(VerifyTime)-使用者Login到系統驗證出結果之所需時間3.3通行密碼(Password)之安全威脅字典攻擊法(DictionaryAttack)以字典中之單字來測試使用者之通行密碼，一般常見單字有二萬個，測試一組單字僅需1毫秒，因此以字典攻擊法20秒內即可得知使用者的通行密碼（假設使用者之通行密碼為字典中之單字）。