仅为个人作业上传,非标准答案。
1.在某些系统提供的基于口令的身份认证机制中,要求用户输入验证码,验证码的作用是增强口令的强度吗?为什么?
验证码的作用不是增强口令的强度,而是为了区分人和电脑程序。
原因:验证码属于身份认证的辅助信息,并不是必须的。它的作用是区分人和电脑程序,目的是想确认信息是由人输入的而不是由电脑程序提供的,为的是抵御由程序自动执行的口令猜测攻击。一般来说,验证码是由系统生成的,通常以较难辨认的图形方式呈现出来,由用户辨认出来后输入到验证码输入框中由系统进行核对。只有当验证码正确时才允许认证通过。
2.在网络环境下的质询-响应式身份认证机制中,是否一定要由认证机制向用户端发送质询?为什么?
需要发送质询。
原因:质询-响应(Challenge-Response)式身份认证方法可以应对口令猜测攻击。在该方法中,认证机制与用户之间约定一种秘密的计算功能,每次认证时,认证机制给用户发送一个随机消息(称为质询),用户用约定的计算功能对该消息进行计算,把计算结果(称为响应)返回给认证机制,认证机制也独立进行同样的计算,以验证用户的返回结果,从而确定用户的身份。以此来应对口令猜测攻击。
9.在身份标识与认证机制中,针对账户信息和口令信息的管理,可以把两类信息合并保存在一个信息库中,也可以为它们设立两个独立的信息库,请说明这两种方案各有什么优缺点?
1、把两类信息合并保存在一个信息库中:
优点:数据库的建立存储等操作比较方便,一次性就可以存储完账户信息和口令信息。
缺点:相比之下安全性较低,由于每个用户都能够察看帐户信息数据库,当口令字段信息存放在帐户信息数据库中时,实际上,每个用户都能得到他相要的口令字段信息。而且如果该信息库被攻击者入侵,则攻击者可以把账户信息和口令信息一块得到。
- 设立为两个独立的信息库:
优点:安全性相比下更高,其他的用户再查看账户信息时也不会看到其他账户的口令信息造成口令信息的“泄露”,同时攻击者也不能一次性得到账户信息和口令信息这两部分的信息,增加了攻击的难度。
缺点:数据库的建立存储等不如存在一个信息库里面方便简单。
在方案4.10中,当客户机能够成功完成对用户私钥的解密时,已表明用户输入的口令是正确的,为什么还要等到客户机与服务器相互认证成功后才能算用户身份认证成功?
因为要进行额外的身份认证来确保发送请求的客户机是正确的客户机,之后再建立连接,通过进行除口令之外的身份认证,以此增强连接的安全性。否则可能会存在攻击者截获相关的解密信息之后发送给服务器,服务器如果不再进行身份认证,则会因为口令正确而直接与攻击者计算机建立连接,可能会导致攻击者成功入侵的情况。
2219
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
