第七讲认证 基于口令的身份认证 1、安全与不安全的口令 UNIX系统口令密码都是用8位(新的是13位DES算法 进行加密的,即有效密码只有前8位,所以一味靠密 码的长度是不可以的。安全的口令要求: 1)位数>6位。 2)大小写字母混合。 3)字母与数字混合。 4)口令有字母、数字以外的符号
11 1、安全与不安全的口令 UNIX系统口令密码都是用8位(新的是13位)DES算法 进行加密的,即有效密码只有前8位,所以一味靠密 码的长度是不可以的。安全的口令要求: 1) 位数>6位。 2) 大小写字母混合。 3)字母与数字混合。 4) 口令有字母、数字以外的符号。 第七讲 认证 二、基于口令的身份认证
第七讲认证 不安全的口令则有如下几种情况: (1)使用用户名(帐号)作为口令。 (2)使用用户名(帐号)的变换形式作为口令 将用户名颠倒或者加前后缀作为口令,比如说 著名的黑客软件John,如果你的用户名是fool, 那么它在尝试使用foo作为口令之后,还会试 着使用诸如fool123、loof、loof123、lofo等作为 口令,只要是你想得到的变换方法,John也会 想得到
12 不安全的口令则有如下几种情况: (1)使用用户名(帐号)作为口令。 (2)使用用户名(帐号)的变换形式作为口令。 将用户名颠倒或者加前后缀作为口令,比如说 著名的黑客软件John,如果你的用户名是fool, 那么它在尝试使用fool作为口令之后,还会试 着使用诸如fool123、loof、loof123、lofo等作为 口令,只要是你想得到的变换方法,John也会 想得到。 第七讲 认证
第七讲认证 (3)使用自己或者亲友的生日作为口令。这种 口令很脆弱,因为这样往往可以得到一个6位 或者8位的口令,但实际上可能的表达方式只 有100×12×31=37200种。 (4)使用常用的英文单词作为口令。这种方法 比前几种方法要安全一些。一般用户选择的英 文单词几乎都落在黑客的字典库里 (5)使用5位或5位以下的字符作为口令
13 (3)使用自己或者亲友的生日作为口令。这种 口令很脆弱,因为这样往往可以得到一个6位 或者8位的口令,但实际上可能的表达方式只 有100×12×31=37200种。 (4)使用常用的英文单词作为口令。这种方法 比前几种方法要安全一些。一般用户选择的英 文单词几乎都落在黑客的字典库里。 (5)使用5位或5位以下的字符作为口令。 第七讲 认证
第七讲认证 加强口令安全的措施: A、禁止使用缺省口令。 B、定期更换口令。 C、保持口令历史记录,使用户不能循环使用 旧口令。 D、用口令破解程序测试口令
14 加强口令安全的措施: A、禁止使用缺省口令。 B、定期更换口令。 C、保持口令历史记录,使用户不能循环使用 旧口令。 D、用口令破解程序测试口令。 第七讲 认证
第七讲认证 2、口令攻击的种类 计算资源依靠口令的方式来保护的脆弱性: 网络数据流窃听。由于认证信息要通过网络传 递,并且很多认证系统的口令是未经加密的明 文,攻击者通过窃听网络数据,就很容易分辨 出某种特定系统的认证数据,并提取出用户名 和口令。口令被盗也就是用户在这台机器上的 切信息将全部丧失,并且危及他人信息安全 计算机只认口令不认人。最常见的是电子邮件 被非法截获
15 2、口令攻击的种类 计算资源依靠口令的方式来保护的脆弱性: 网络数据流窃听。由于认证信息要通过网络传 递,并且很多认证系统的口令是未经加密的明 文,攻击者通过窃听网络数据,就很容易分辨 出某种特定系统的认证数据,并提取出用户名 和口令。口令被盗也就是用户在这台机器上的 一切信息将全部丧失,并且危及他人信息安全, 计算机只认口令不认人。最常见的是电子邮件 被非法截获。 第七讲 认证