身份认证与访问控制
身份认证
- 身份认证是信息安全中最前沿的一道防线
- 身份认证指的是对实体身份的证实,用以识别合法或者非法的实体,阻止非法实体假冒合法实体窃取或者访问网络资源
- 认证凭证
- 生物认证:基于个人独特的生理或行为特征进行自动身份认证的技术
(1)普遍性:生物认证所依赖的身体特征基本上是人人天生就有的。
(2)方便性:生物特征不会像口令或者磁卡那样容易被遗忘或者丢失。
(3)不可复制性:在一个活人身上伪造另一个人的生物特征是非常困难的。
(4)高安全性:人的生理或行为是人本身所固有的、独特且不容易改变的,不可以借给其他人使用的。
(5)生物认证技术能够提供主动监控技术。
生物认证是未来的发展趋势,包括指静脉认证和虹膜认证
访问控制
RBAC模型
- Role-Based Access Control——基于角色的访问控制
- 优点:实现了系统访问权限的动态管理,简化和规范了授权操作,nm 变成nr+rm=r(n+m)
- RBAC是一种非自主型的访问控制模式,在大多数信息管理系统中,角色由系统管理员创建、删除、修改和定义权利。
操作流程
- 在计算机的组策略编辑器中,对密码要求进行设置,包括使用期限、复杂性要求、长度、强制密码历史数以及锁定阈值锁定时间等
- 弱口令爆破实验。在电脑上部署FTP服务器,设置用户名密码为常用弱口令,使用FTP破解,选择账号和字典进行暴力破解
- 更改cpp文件,使得对程序对口令强度进行正确判断
- 对用户注册模块,用户的密码保密性添加检测功能,长度不少于6位,至少包括大小写字母,数字、特殊符号里的三种
- http:\yanzhi.900cha.com/娱乐人脸识别工具,测颜值。
- 在Blog项目中增加明文口令加密功能