1.口令的泄密 口令可能泄密的几种途径有: 1)猜测和发现口令 常用数据猜测,如如家庭成员或朋友的名字、生日、球队名称、 城市名、身份证号码、电话号码、邮政编码等 字典攻击 其他,如望远镜窥视等 (2)电子监控 ·在网络或电子系统中,被电子嗅探器、监控窃取 (3)访问口令文件 ·在口令文件没有强有力保护的情形下,下载口令文件。 在口令文件有保护的情况下,进行蛮力攻击 (4)通过人际工程泄露 自己将口令告诉他人
1. 口令的泄密 口令可能泄密的几种途径有: (1)猜测和发现口令 • 常用数据猜测,如如家庭成员或朋友的名字、生日、球队名称、 城市名、身份证号码、电话号码、邮政编码等。 • 字典攻击。 • 其他,如望远镜窥视等。 (2)电子监控 • 在网络或电子系统中,被电子嗅探器、监控窃取。 (3)访问口令文件 • 在口令文件没有强有力保护的情形下,下载口令文件。 • 在口令文件有保护的情况下,进行蛮力攻击。 (4)通过人际工程泄露 • 自己将口令告诉他人
2.口令的存储 口令的存储不仅是为了备忘,更重要的是系统要在检 测用户口令时进行比对。在系统中为进行比队而存储 的方式有如下两种 (1)直接明文存储口令 写在纸上或直接明文存储在文件或数据库中,最容易 泄密。 (2)Hash杂凑存储 这种方式是使用杂凑函数为口令文件产生“指纹”, 即将每一个用户的系统存储账号和杂凑值存储在一个 口令文件中。当用户登录时,输入口令后,系统计算 口令的杂凑码,并与口令文件中的杂凑值比对:成功, 则允许登录;否则,拒绝
2. 口令的存储 口令的存储不仅是为了备忘,更重要的是系统要在检 测用户口令时进行比对。在系统中为进行比队而存储 的方式有如下两种。 (1)直接明文存储口令 写在纸上或直接明文存储在文件或数据库中,最容易 泄密。 (2)Hash杂凑存储 这种方式是使用杂凑函数为口令文件产生“指纹”, 即将每一个用户的系统存储账号和杂凑值存储在一个 口令文件中。当用户登录时,输入口令后,系统计算 口令的杂凑码,并与口令文件中的杂凑值比对:成功, 则允许登录;否则,拒绝
3.一次性口令 20世纪80年代,美国科学家 Leslie Lamport首次提出了利 用杂凑函数产生一次性口令的设想。 传统的口令是静态的,即在一定的时间内是不变的,可以 重复使用,也容易被攻击而泄露。一次性口令是变动的密 码。其变动源自产生密码的运算因子的变化。通常,一次 性口令采用运算双因子:一个是用户密钥,用于代表用户 身份;一个是变动因子,产生变动的口令。采用不同的变 动因子,就形成了不同的一次性口令认证技术,如基于时 间同步的认证技术、基于事件同步的认证技术、挑战/应 答方式的非同步技术等。 次性口令也面临着字典攻击。为对付口令攻击,目前 nternet用户普遍采用 Bellcore的S/KEY一次性口令系统。 关于S/KEY的具体内容,请参考有关资料
3. 一次性口令 20世纪80年代,美国科学家Leslie Lamport首次提出了利 用杂凑函数产生一次性口令的设想。 传统的口令是静态的,即在一定的时间内是不变的,可以 重复使用,也容易被攻击而泄露。一次性口令是变动的密 码。其变动源自产生密码的运算因子的变化。通常,一次 性口令采用运算双因子:一个是用户密钥,用于代表用户 身份;一个是变动因子,产生变动的口令。采用不同的变 动因子,就形成了不同的一次性口令认证技术,如基于时 间同步的认证技术、基于事件同步的认证技术、挑战/应 答方式的非同步技术等。 一次性口令也面临着字典攻击。为对付口令攻击,目前 Internet用户普遍采用Bellcore的S/KEY一次性口令系统。 关于S/KEY的具体内容,请参考有关资料
7.22智能卡与电子钥匙身份验证 智能卡( Smart Card)是如名片大小的手持随机动态密码产生器, 也称集成电路卡或|C卡( ntegrated Card)。对于智能卡的安全 保护,一般采取如下一些措施: (1)对持卡人、卡和接口设备的合法性进行相互校验; (2)重要数据要加密后传输 (3)卡和接口设备中设置安全区,在安全区内包含有逻辑电路或 部不可读的存储区。任何有害的不规范的操作,将会被自动禁 止进一步进行。 (4)应设置止付名单(黑名单)。 (5)有关人员要明确责任,严格遵守。 电子钥匙( ePass)是一种通过USB直接与计算机相连、具有密 码验证功能、可靠高速的小型存储设备,用于存储一些个人信息 或证书,它内部的密码算法可以为数据传输提供安全的管道,是 适合单机或网络应用的安全防护产品。其安全保护措施与智能卡 相
7.2.2 智能卡与电子钥匙身份验证 智能卡(Smart Card)是如名片大小的手持随机动态密码产生器, 也称集成电路卡或IC卡(Integrated Card)。对于智能卡的安全 保护,一般采取如下一些措施: (1)对持卡人、卡和接口设备的合法性进行相互校验; (2)重要数据要加密后传输; (3)卡和接口设备中设置安全区,在安全区内包含有逻辑电路或 外部不可读的存储区。任何有害的不规范的操作,将会被自动禁 止进一步进行。 (4)应设置止付名单(黑名单)。 (5)有关人员要明确责任,严格遵守。 电子钥匙(ePass)是一种通过USB直接与计算机相连、具有密 码验证功能、可靠高速的小型存储设备,用于存储一些个人信息 或证书,它内部的密码算法可以为数据传输提供安全的管道,是 适合单机或网络应用的安全防护产品。其安全保护措施与智能卡 相似
7.23生物特征身份验证 1.指纹识别 生物识别是利用人的唯一(或相同概率极小)的生理 或行为特征作为身份认证的根据。历史最为悠久的生 物识别是指纹识别。著名指纹专家刘持平先生曾经论 证,早在7000年前我们的祖先就开始进行指纹识别 的研究。到了春秋战国时 手印检验不仅广泛应用 于政府和民间的书信和邮件往来之中,并已经开始用 于侦讯破案之中。 指纹是一种十分精细的拓扑图形。如图74所示, 枚指纹不足方寸,上面密布着100~120个特征细节 这么多的特征参数组合的数量达到640亿种(高尔顿 说),也有一说是一兆的7次幂。并且由于它从胎儿4 个月时生成后保持终生不变,因此,用它作为人的唯 标识,是非常可靠的
7.2.3 生物特征身份验证 1. 指纹识别 生物识别是利用人的唯一(或相同概率极小)的生理 或行为特征作为身份认证的根据。历史最为悠久的生 物识别是指纹识别。著名指纹专家刘持平先生曾经论 证,早在7000年前我们的祖先就开始进行指纹识别 的研究。到了春秋战国时代,手印检验不仅广泛应用 于政府和民间的书信和邮件往来之中,并已经开始用 于侦讯破案之中。 指纹是一种十分精细的拓扑图形。如图7.4所示,一 枚指纹不足方寸,上面密布着100~120个特征细节, 这么多的特征参数组合的数量达到640亿种(高尔顿 说),也有一说是一兆的7次幂。并且由于它从胎儿4 个月时生成后保持终生不变,因此,用它作为人的唯 一标识,是非常可靠的