数字用户认证方法
用于用户身份认证的方法一般有四种:
- 个人所知道的信息:口令、个人标识、对预先设置问题的答案
- 个人所持有的物品(令牌):电子钥匙卡、智能卡和物理钥匙
- 个人的生理特征:指纹识别、虹膜识别
- 个人的行为特征:语音模式、笔迹、打字节奏的识别
风险评估:
- 声誉影响
- 经济损失
- 个人敏感信息
- 个人安全
- 法律风险
基于口令的认证
口令的脆弱性
- 离线字典攻击
- 特定账户攻击
- 常用口令攻击
- 单用户口令猜测攻击
- 工作站劫持
- 利用用户疏漏
- 口令重复利用
- 电子监视
口令文件访问控制
一种阻止口令攻击的方法是拒绝对手访问口令文件。
- 限制访问: 只有 root 用户才能读取
/etc/shadow文件,防止普通用户获取密码哈希值。 - 增强密码策略: 影子口令文件允许系统管理员配置复杂的密码策略,例如密码最小长度、强制修改周期、过期警告等,从而提高用户密码的强度。
- 抵抗离线破解: 由于密码哈希值不再公开,攻击者难以直接获取并进行离线破解尝试。
生物特征认证
远程用户认证
挑战 - 应答协议
用户认证中的安全问题
- 窃听
- 主机攻击
- 重放
- 客户端攻击:敌手伪装成一个合法的用户完成用户认证
- 木马
- 拒绝服务