口令认证机制

写在前面：

随着社会的进步和计算机技术的发展，网络的普及率越来越高，使网络化成为企业信息化发展的大趋势，当人们在享受信息化带来的众多好处的同时，网络安全问题已成为信息时代人类共同面临的挑战。

一、概念

口令认证是指通过用户输入固定的密码，进而验证用户身份的一种认证方式。

在网络环境下，各种应用都需要通过身份认证来确认用户的合法性，然后再确定用户的个人数据和特定权限。
身份认证是其他的安全服务的基础，一旦身份认证系统被攻破，那么系统的其他安全措施都将形同虚设。
身份认证可以采用各种各样的形式进行认证，口令认证系统以其密码算法的抗攻击能力强、兼容性好、使用方便可靠等显著特点而逐渐成为身份认证技术的主流。
根据验证口令的产生方式的不同口令认证可以分为静态口令认证、一次性口令认证和双因素动态口令认证。

二、特点

使用口令进行身份认证的优缺点：

优点：口令算法足够复杂的情况下，黑客得到口令文件想要通过散列值计算出原始口令这种情况是不可能的，如果使用动态口令那安全性会进一步提升。
缺点：只使用单因素认证，完全依赖于口令，而用户只会设置容易记忆、容易被破解的口令，并不会按照开发人员设计的口令复杂度进行设置，这种情况就容易被离线字典攻击。

可以执行人员身份验证的不同方式有以下这些：

1. 静态密码：用户的密码是由用户自己设定的。在网络登录时输入正确的密码，计算机就认为操作者就是合法用户。
2. 智能卡：智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。
3. 短信密码：短信密码以手机短信形式请求包含随机数的动态密码，客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性。
4. 动态口令：动态口令是应用最广的一种身份识别方式，一般是长度为 5~8 的字符串，由数字、字母、特殊字符、控制字符等组成。 USB
5. KEY：采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。
6. 生物识别：通过可测量的身体或行为等生物特征进行身份认证的一种技术。
7. 双因素：所谓双因素就是将两种认证方法结合起来，进一步加强认证的安全性。

三、应用

静态口令认证是指用户登录系统进行身份认证的过程中，提交给系统的验证数据是固定不变的。静态口令认证主要用于一些比较简单的系统或安全性要求不高的系统。

例如：PC机的开机口令、Linux系统中用户的登录、Windows用户的登录、电话银行查询系统的帐户口令等。

四、面临的安全威胁和防御

1.安全威胁

尽管口令认证在提高系统安全性方面有积极作用，但也存在一些问题 :
1.密码规则过于繁琐：复杂的密码规则容易导致用户忘记密码，甚至使用简单的密码。
2.密码泄露：如果密码被不法分子获取,那么劫持账号将变得非常容易。
3.社会工程学攻击：攻击者可能会采集用户的个人信息来破解密码，例如生日、电话号码等。网络数据流窃听：由于认证信息要通过网络传递，并且很多认证系统的口令是未经加密的明文，攻击者很容易的通过窃听网络数据，分辨出某种特定系统的认证数据，并提取出用户名和口令。
认证信息截取 / 重放：有些系统会将认证信息进行简单加密后进行传输，如果攻击者无法用网络数据流窃听方式推算出口令，将使用截取 / 重放方式，再进行分辨和提取。重放过程会形成重放攻击，破坏认证的正确性。
字典攻击：大多数用户习惯使用有意义的单词字符或数字作为口令，如名字、生日；某些攻击者会使用字典中的单词来尝试用户的口令。另外，口令一般是经过加密后存放在口令文件中，如果口令文件被窃取，那么就可以进行离线的字典式攻击，这也是黑客最常用的手段之一。所以大多数系统都建议用户在口令中加入特殊字符，以增加口令的安全性。
穷举尝试：也叫暴力破解，这是一种属于字典攻击的特殊攻击方式，它使用字符串的全集作为字典，然后穷举尝试进行猜测。如果用户的口令较短，则很容易被穷举出来，因而很多系统都建议用户使用较长的口令，最好采用数字、字符混合的方式并加入特殊字符。
窥探口令：攻击者利用与被攻击系统接近的机会，安装监视器或亲自窥探合法用户输入口令的过程，以得到口令。常用的方式之一是利用按键记录软件，它是一种间谍软件，以木马方式值入到用户的计算机后，可以偷偷地记录下用户的每次按键动作，并按预定的计划把收集到的信息通过电子邮件等方式发送出去。
骗取口令：攻击者冒充合法用户发送邮件或打电话给管理人员，以骗取用户口令。这属于社会工程学威胁，是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行的诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已呈迅速上升甚至滥用的趋势。
垃圾搜索：攻击者通过搜索被攻击者的废弃物，得到与被攻击系统有关的信息。

2.防御

单台设备破解，每秒尝试100次——错误达到10次后，每5min才能尝试一次控制僵尸网络破解——统计，加入黑名单；多因素身份验证。
口令攻击防御概述：
防范办法很简单，只要使自己的口令不在英语字典中，且不可能被别人猜测出就可以了。 一个好的口令应当至少有8个字符长，不要用个人信息（如生日、名字等），口令中要有一些非字母字符（如数字、标点符号、控制字符等），还要好记一些，不能写在纸上或计算机中的文件。保持口令的安全要点如下：
1、不要将口令写下来
2、不要将口令存于电脑文件中
3、不要选取显而易见的信息作口令
4、不要让别人知道
5、不要在不同系统上使用同一口令
6、为了防止眼捷手快的人窃取口令，在输入口令时应当确定无人在身边
7、定期改变口令，至少6个月要改变一次

引用

[1]https://shop.77b2b.com/quote/show-13284.html
[2]https://blog.csdn.net/2301_77069887/article/details/131350278
[3]https://www.wangan.com/wenda/13328
[4]https://www.ngui.cc/zz/1961973.html?action=onClick
[5]https://www.wangan.com/wenda/8834