电子科技女学 网络安全曜备易散木 6.2.1基于口令的认证机制 信息与软件工程学院 16
理论与技术 6.2.1 基于口令的认证机制 16
电子科技女学 网络安全螺危易散本 针对口令的攻击 字典破解 暴力破解 ◆字典攻击: 尝试mouse 失败 尝试0001 :失败 ~为方便记忆,口令与自己 尝试elephant :失败 尝试0002 失败 尝试tiger :失败 尝试0003 :失败 率、电 话等; >形成字典罗列所有可能传 尝试Beijing :失败 尝试9655 :失败 ◆穷举攻击: 尝试Shanghai :成功! 尝试9656 :成功! >特殊字典攻击,使用字 ◆窥探: >接近被攻击系统,安装监视器或亲自窥探用户输入口令。 ◆社交工程: >冒充领导或合法用户给管理人员发送邮件或打电话,以骗取用户口令。 ◆垃圾搜索: >搜索被攻击者的废弃物,得到被用户写在纸上又随便丢弃的口令。 信息与软件工程学院 17
理论与技术 针对口令的攻击 ◆字典攻击: ➢为方便记忆,口令与自己周遭事物有关,如:身份证号、生日、车牌、电 话等; ➢形成字典罗列所有可能做口令中的字符串。 ◆穷举攻击: ➢特殊字典攻击,使用字符串全集作为字典。 ◆窥探: ➢接近被攻击系统,安装监视器或亲自窥探用户输入口令。 ◆社交工程: ➢冒充领导或合法用户给管理人员发送邮件或打电话,以骗取用户口令。 ◆垃圾搜索: ➢搜索被攻击者的废弃物,得到被用户写在纸上又随便丢弃的口令。 17
胸电占科放大学 网络安全曜备5散木 安全口令的要求 ◆采用较长的长度 >口令破解的难度随口令长度指数增长,如至少包含8个字符 ◆采用多种字符的组合 >如大小写、数字和各种符号的组合 ◆避免使用单词、术语及用户相关信息 >如单词、术语以及用户名、姓名、电话、生日、车牌等用户相关信 息 信息与软件工程学院 18
理论与技术 安全口令的要求 ◆采用较长的长度 ➢口令破解的难度随口令长度指数增长,如至少包含8个字符 ◆采用多种字符的组合 ➢如大小写、数字和各种符号的组合 ◆避免使用单词、术语及用户相关信息 ➢如单词、术语以及用户名、姓名、电话、生日、车牌等用户相关信 息 18
电子科技女学 网络安全曜格5散术 口令安全增强策略和机制 ◆1、限制猜测次数。 ◆2、降低猜测口令速度。 ◆3、增加口令长度,增加攻击者搜索空间。 ◆4、要求用户选择安全的口令。 ◆5、定期更换口令。 信息与软件工程学院
理论与技术 口令安全增强策略和机制 ◆1、限制猜测次数。 ◆2、降低猜测口令速度。 ◆3、增加口令长度,增加攻击者搜索空间。 ◆4、要求用户选择安全的口令。 ◆5、定期更换口令
电子科技女学 网络安全曜备易散木 6.2.2基于口令的认证机制的演进 信息与软件工程学院 20
理论与技术 6.2.2 基于口令的认证机制的演进 20