文章目录
NISP-身份认证
1.概述
- 是用户登录系统或者网站的第一道安全防线。
- 是在网络中确认操作身份的过程。
2.分类
- 单向认证:服务器对用户身份的验证
- 双向认证:服务器和用户双方彼此认证身份
- 第三方认证:服务器和用户通过可信第三方来鉴别身份
身份认证一般依据一下三种基本情况或者者三种情况组合来鉴别身份:
- 用户所知道的东西:例如,口令,密钥
- 用户所拥有的东西:例如,印章,USB-KEY
- 用户所具有的生物特征:例如,指纹,声音,虹膜,人脸
3.用户所知
- 静态口令认证
- 短信口令认证
- 动态口令认证
(1).静态口令认证
- 概述:口令固定不变,长期有效,弱鉴别
缺点:
- 通信窃取——窃听获得明文的用户名和口令
- 重放攻击——截获登录数据(明/密)
- 字典攻击——选择有意义的单词或数字作字典
- 暴力攻击——穷举全部可能组合,猜测口令
- 外部泄露——搜索存有口令的纸片和文件
- 窥探——安装监视器或从背后窥探
- 社交工程——冒充合法用户,假冒管理员,骗取口令
这里针对社会工程提供一个例子:
- 淘宝网站初期,电商的一些信息是可以被直接看到的,于是黑客利用这些信息在网上挖掘其他个人信息,例如(手机号码,身份证,邮箱,地址等),而其中有些电商安全意识不够,经常使用一些与个人相关的信息来作口令,导致口令被黑客破解,侵入淘宝网站,造成电商的损失。
(2).短信口令认证
概述:
- 是利用移动网络动态口令的认证方式
- 以手机短信形式请求包含位6随机数的动态口令,身份认证系统以短信的形式发送随机的6位动态口令到用户的手机上,用户在认证时输入即可
- 由于手机和用户绑定比较紧密,短信口令生成和用户使用场景是物理隔绝的,因此口令在通路上被截取的几率极低
(3).动态口令认证
概述:
- 又称:一次性口令认证
- 口令随机性:随机性强,难以猜测
- 口令多态性:每次变化,无须人工干预
- 是一种双向的认证(杜绝木马)
- 例如:U盾,刮刮卡,动态令牌
4.用户所有
- USB-Key
- 电子印章
(1).USB-Key
概述:
- 采用软硬件相结合的挑战/应答认证模式。
- 是USB硬件设备,内置单片机/智能卡芯片(存储用户的密钥或数字证书),利用USB-Key内置的密码算法实现对用户身份的认证。
挑战/应答模式:
- 认证系统发送一个随机数(挑战),用户使用USB-Key中的密钥和算法计算出一个数值(应答),认证系统检验数值,若正确,则合法用户。