第七讲认证 认证信息截取/重放( Record./ Replay)有的系统会将认证信息进 行简单加密后进行传输,如果攻击者无法用第一种方式推算 出密码,可以使用截取/重放方式。攻击者仍可以采用离线方 式对口令密文实施字典攻击 对付重放的方法有 l在认证交换中使用一个序数来给每一个消息报文编号,仅当 收到的消息序号合法时才接受之; 2使用时间戳(A接受一个新消息仅当该消息包含一个A认为是 足够接近A所知道的时间戳); 3询问/应答方式(A期望从B获得一个新消息,则先发给B一 个临时值,并要求后续从B收到的消息包含正确的这个临时 值)
16 认证信息截取/重放(Record/Replay) 有的系统会将认证信息进 行简单加密后进行传输,如果攻击者无法用第一种方式推算 出密码,可以使用截取/重放方式。攻击者仍可以采用离线方 式对口令密文实施字典攻击; 对付重放的方法有: 1在认证交换中使用一个序数来给每一个消息报文编号 ,仅当 收到的消息序号合法时才接受之; 2使用时间戳 (A接受一个新消息仅当该消息包含一个 A认为是 足够接近 A所知道的时间戳 ); 3询问 /应答方式 (A期望从 B获得一个新消息 ,则先发给 B一 个临时值 ,并要求后续从 B收到的消息包含正确的这个临时 值 ) 第七讲 认证
第七讲认证 字典攻击:由于多数用户习惯使用有意义的单词或数 字作为密码,某些攻击者会使用字典中的单词来尝试 用户的密码。所以大多数系统都建议用户在口令中加 入特殊字符,以增加口令的安全性 穷举尝试( Brute Force:这是一种特殊的字典攻击, 它使用字符串的全集作为字典。如果用户的密码较短, 很容易被穷举出来,因而很多系统都建议用户使用长 口 窥探:攻击者利用与被攻击系统接近的机会,安装 监视器或亲自窥探合法用户输入口令的过程,以得到 口令
17 字典攻击:由于多数用户习惯使用有意义的单词或数 字作为密码,某些攻击者会使用字典中的单词来尝试 用户的密码。所以大多数系统都建议用户在口令中加 入特殊字符,以增加口令的安全性。 穷举尝试(Brute Force): 这是一种特殊的字典攻击, 它使用字符串的全集作为字典。如果用户的密码较短, 很容易被穷举出来,因而很多系统都建议用户使用长 口令。 窥探: 攻击者利用与被攻击系统接近的机会,安装 监视器或亲自窥探合法用户输入口令的过程,以得到 口令。 第七讲 认证
第七讲认证 社交工程:攻击者冒充合法用户发送邮件或打电话 给管理人员,以骗取用户口令。比如,在终端上发现 如下信息: Please enter your user name to logon our password 这很可能是一个模仿登录信息的特洛伊木马程序,他 会记录口令,然后传给入侵者 垃圾搜索:攻击者通过搜索被攻击者的废弃物,得 到与攻击系统有关的信息,如果用户将口令写在纸上 又随便丢弃,则很容易成为垃圾搜索的攻击对象
18 社交工程: 攻击者冒充合法用户发送邮件或打电话 给管理人员,以骗取用户口令。比如,在终端上发现 如下信息: Please enter your user name to logon: Your password: 这很可能是一个模仿登录信息的特洛伊木马程序,他 会记录口令,然后传给入侵者。 垃圾搜索: 攻击者通过搜索被攻击者的废弃物,得 到与攻击系统有关的信息,如果用户将口令写在纸上 又随便丢弃,则很容易成为垃圾搜索的攻击对象。 第七讲 认证
第七讲认证 口令猜中概率公式:P=LRS L:口令生命周期R:进攻者单位时间内猜测不同口令次数 S:所有可能口令的数目。为降低猜中的概率: l减少口令使用寿命,即提高口令更换的频率; 2降低进攻者单位时间内猜测尝试口令的次数 3增加可能口令的数目,即提高口令的字符个数 然而,口令的频繁更换增加了用户的负担,也为资深入侵者 提供了条件(为了便于记忆,人们往往选择与其个人相关的口 令,如某重要的日期),口令字符个数的增加也会增加用户的 负担且不会对资深入侵者有更大影响,因此,手段2应是较 为有效的防猜中手段
19 口令猜中概率公式: P=L•R/S L:口令生命周期 R:进攻者单位时间内猜测不同口令次数 S:所有可能口令的数目。为降低猜中的概率: 1减少口令使用寿命 ,即提高口令更换的频率 ; 2降低进攻者单位时间内猜测尝试口令的次数 ; 3增加可能口令的数目 ,即提高口令的字符个数。 然而 ,口令的频繁更换增加了用户的负担 ,也为资深入侵者 提供了条件 (为了便于记忆 ,人们往往选择与其个人相关的口 令 ,如某重要的日期 ),口令字符个数的增加也会增加用户的 负担且不会对资深入侵者有更大影响 ,因此 ,手段 2应是较 为有效的防猜中手段。 第七讲 认证
第七讲认证 1选择很难破译的加密算法 让硬件解密商品不能发挥作用。 2控制用户口令的强度(长度、混合、大小写) 3掺杂口令 先输入口令,然后口令程序取一个12位的随 机数(通过读取实时时钟)并把它并在用户输入 的口令后面。然后加密这个复合串。最后把 64位的加密结果连同12位的随机数(叫做salt) 一起存入口令文件
20 1.选择很难破译的加密算法 让硬件解密商品不能发挥作用。 2.控制用户口令的强度(长度、混合、大小写) 3.掺杂口令 先输入口令,然后口令程序取一个 12 位的随 机数(通过读取实时时钟)并把它并在用户输入 的口令后面。然后加密这个复合串。最后把 64 位的加密结果连同 12 位的随机数(叫做 salt) 一起存入口令文件。 第七讲 认证