❖3. 除了使用口令，人们还可以采用哪些方法标识身 份，进行身份鉴别？
3
信息安全案例教程：技术与应用
1. 身份认证的概念
❖ 用户密码，严格地称为用户口令，实际上在人们的信息资 源活动中起到标识用户身份，并依此进行身份认证的作用 ，防止非授权访问。
❖ 身份认证（Authentication）是证实实体（Entity）对 象的数字身份与物理身份是否一致的过程。身份认证技术 能够有效防止信息资源被非授权使用，保障信息资源的安 全。
❖ 使用最多的密码长度是8位
竟然不要求长度
12
信息安全案例教程：技术与应用
2.基于口令的用户身份认证安全性分析
❖ 如何提高口令质量？
❖ 对于用户
▪ 增大口令空间。计算口令空间的公式：S = A M
▪ 选用无规律的口令 ▪ 多个口令 ▪ 用工具生成口令
❖ 对于网站
▪ 登录时间限制。 ▪ 限制登录次数。 ▪ 尽量减少会话透露的信息。 ▪ 增加认证的信息量。
6
信息安全案例教程：技术与应用
1. 身份认证的概念
❖ 创建和发布的身份信息必须具有3个特性：
❖ 1）唯一性。标识符必须是唯一的且不能被伪造，防止一 个实体冒充另一个实体。不同的计算机系统、不同的应用 中，可以使用不同的方式来标识实体的身份：可以是一个 唯一的字符串，可以是一张数字证书（类似于现实生活中 的居民身份证），也可以是主机IP地址或MAC地址（ Media Access Control，媒介访问控制）。
被攻击者嗅探到。
用户ID 密码 admin 123456 chenbo 456789 …… ……
口令在数据库中 没有加密保存； 数据库文件没有 访问控制
10
信息安全案例教程：技术与应用
2.基于口令的用户身份认证安全性分析
❖ 来看看大家最经常使用的密码是什么吧
11
信息安全案例教程：技术与应用
2.基于口令的用户身份认证安全性分析
5
信息安全案例教程：技术与应用
1. 身份认证的概念
❖ 身份认证分为两个过程：标识与鉴别。
▪ 标识（Identification）就是系统要标识实体的身份，并为每个实 体取一个系统可以识别的内部名称——标识符ID。
▪ 识别主体真实身份的过程称为鉴别（Authentication），也有称 作认证或验证。
程，且十分便于触控屏用户的使用，用户体验度高； ❖ 与口令字符串相比，“图片密码”不会出现口令窃取以及
❖ for_$n(@RenSheng)_$n+="die" ❖ 密码解析：人生自古谁无死 ❖ while(1)Ape1Cry&&Ape2Cry; ❖ 密码解析：两岸猿声啼不住 ❖ doWhile(1){LeavesFly();YangtzeRiverFlows
(); ❖ 密码解析：无边落木萧萧下，不尽长江滚滚来
例如Administrator这样的身份标识对于攻击者太具有诱 惑力了。 ❖ 3）权威签发。有的身份标识，如数字证书应当由权威机 构颁发，以便对标识进行验真，或在出现争执时提供仲裁 。
8
信息安全案例教程：技术与应用
案例思考：
❖1. 在用户对信息资源的访问过程中，用户密码（口 令）起到什么作用？
❖2. 基于用户口令的身份认证面临哪些安全威胁？如 何确保口令认证的安全性？
❖ 户名或账户就可以作为身份标识。为了对主体身份的正确 性进行验证，主体往往还需要提供进一步的凭证，例如密 码（口令）、令牌或是生物特征。
❖ 系统会将主体提供的账号和凭证这两类身份信息与先前已 存储的该主体的身份信息进行比较，如果相匹配，那么主 体就通过了身份鉴别。
❖ 考虑到身份鉴别是身份认证的重要组成部分，鉴别与标识 也紧密联系，所以后面不再对认证和鉴别做区分。
13
信息安全案例教程：技术与应用
CSDN 杯最强密码大决选
❖ 总冠军：ppnn13%dkstFeb.1st。 ❖ 看不懂？ ❖ 密码解析：娉娉袅袅十三余，豆蔻梢头二月初。 ❖ csbt34.ydhl12s ❖ 密码解析：池上碧苔三四点，叶底黄鹂一两声
14ቤተ መጻሕፍቲ ባይዱ
信息安全案例教程：技术与应用
CSDN 杯最强密码大决选(续1)
❖ 例如：
▪ Windows系统的登录用户名和口令标识了一个用户的 身份；
▪ 打开Office文档的口令标识了用户的身份；
▪ 校园网用户登录学校图书馆资源时根据用户的IP地址 确认用户主机的合法身份等。
7
信息安全案例教程：技术与应用
1. 身份认证的概念
❖ 创建和发布的身份信息必须具有3个特性： ❖ 2）非描述性。任何身份的标识都不能表明账户的目的，
15
信息安全案例教程：技术与应用
CSDN 杯最强密码大决选(续2)
❖ Tree_0f0=sprintf("2_Bird_ff0/a"); ❖ 密码解析：两个黄鹂鸣翠柳 ❖ CaCO3=CaO+CO2 ❖ 密码解析：无语
16
信息安全案例教程：技术与应用
Windows 8 图片密码
❖ Windows 8操作系统增加的“图片密码”。 ❖ 图片密码方便记忆，省去了用户记忆繁杂口令字符串的过
身份与访问安全
——基于口令的认证案例与分析
陈波
南京师范大学计算机科学与技术学院
案例：国内著名网站用户密码泄露事件
2
信息安全案例教程：技术与应用
案例思考：
❖1. 在用户对信息资源的访问过程中，用户密码（口 令）起到什么作用？
❖2. 基于用户口令的身份认证面临哪些安全威胁？如 何确保口令认证的安全性？
❖3. 除了使用口令，人们还可以采用哪些方法标识身 份，进行身份鉴别？
9
信息安全案例教程：技术与应用
2.基于口令的用户身份认证安全性分析
伪造的登录界面； 在输入密码时被键盘记 录器等盗号程序所记录
用户信息安全意识不高； 口令质量不高。
攻击者运用社会工程学， 骗取口令。
认证请求
用户U
认证
系统S
口令在传输过程中
❖ 这里的实体可以是用户，也可以是主机系统。
4
信息安全案例教程：技术与应用
1. 身份认证的概念
❖ 在计算机系统中，身份（Identity）是实体的一种计算机 表达，计算机中的每一项事务是由一个或多个唯一确定的 实体参与完成的，而身份可以用来唯一确定一个实体。
❖ 根据实体的不同，身份认证通常可分为用户与主机间的认 证和主机与主机之间的认证，不过实质上，主机与主机之 间的认证仍然是用户与主机系统的认证。