登录系统
更改密码
分析密码设置要求
辅助安全登录技术
网络空间安全技术实践教程
5
1.1 用户登录系统使用和分析
实验准备： （实验环境，实验先有知识技 术说明）
操作系统windows XP及以上 IE 11.0及以上版本浏览器 计算机基本操作...
网络空间安登录系统使用和分析
网络空间安全技术实践教程
3
1.1 用户登录系统使用和分析
实验原理： 用户登录系统是网站的基础设施之一，
通过该系统可以完成注册账号、登录账号、 管理账号等功能。本实验基于用户登录系统， 进行一系列的基础操作，由此分析网站的安 全性。
网络空间安全技术实践教程
4
1.1 用户登录系统使用和分析
实验要点说明：（实验难点说明）
网络空间安全技术实践教程
7
1.1 用户登录系统使用和分析
实验步骤： 1）淘宝网站登录系统分析及使用
(2)修改淘宝账户密码 登录账号后，可以在账号管理-安全设置中找到修改登录密码服务， 如图1-1-3所示。进入修改密码后，首先需要通过验证绑定的手机号，并 且在修改密码之前还需要再进行一次身份验证，方式多种，如图1-1-4所 示。
12
1.1 用户登录系统使用和分析
3）土豆视频网站登录系统分析及使用
(1) 登录土豆视频网站账户 土豆网站有多种登录方式，包括密码登录、关联账号登录和手机快 捷登录。密码登录（见图1-1-7）可通过手机、邮箱或优酷土豆账号作为 身份标识，使用密码登录。同时，还能看到可以通过关联的淘宝、支付 宝、QQ、微博以及微信进行登录。
2）网易163网站登录系统分析及使用
(2)修改网易163账户密码 登录账号后，可在账号中心-账号管理中找到修改密码服务，首先 进行绑定手机号的短信验证，然后进入修改密码界面（见图1-1-6）。
网易163网站要求用户设置一个只能使用字母、数字、特殊字符的 6-16位密码，并且区分大小写，然而并没有要求用户增大密码的字典， 对某些贪图方便的用户来说，可能使用一些简单密码，造成账户安全风 险。
网络空间安全技术实践教程
15
1.1 用户登录系统使用和分析
4）QQ登录系统分析及使用
(1) 登录QQ账户
(2) 修改QQ账户密码
(3) 分析与思考 如图1-1-12所示，QQ在验证账户主人真实性的时候提供了一个最坏 条件的验证环境：即账户主人忘记了密码，同时密保手机号码无效或不 在身边的情况下，仍能提供账户主人真实性认证服务。请首先试着以腾 讯公司的身份来设计该如何提供该项服务，然后直接使用该项验证方式， 比对你的想法和其提供的验证方式，分析其优点和缺点。
实验步骤： 1）淘宝网站登录系统分析及使用
(1)登录淘宝网站账户 淘宝网站有多种登录方式，包括最传统的密码登录，关联账号登录 以及手机扫码登录。密码登录（见图1-1-1）可通过手机名、用户名和邮 箱作为身份标识，使用密码登录。同时，还能看到可以通过关联的微博 和支付宝进行登录。 除此之外，还可以通过已登录的手机淘宝客户端扫码进行登录（见 图1-1-2）。需要注意的是，该二维码并非永久有效，一段时间过期后会 失效，此时需要刷新产生新的二维码，才能再用手机扫码登录。
网络空间安全技术实践教程
吕秋云，王小军，胡耿然，汪云路，王秋华 西安电子科技大学出版社
第一篇 网络空间安全实践入门篇
第一章 网络应用系统使用与分析实验 1.1 用户登录系统使用和分析
网络空间安全技术实践教程
2
1.1 用户登录系统使用和分析
实验目的：
本实验主要是通过对电商（淘宝），信息平台 （163），视频资源（土豆视频），即时聊天 （QQ），数字化校园（杭电），国外社交网站 （facebook）等的登录系统进行登录使用，同时分 析使用密码更改的方式，密码设置的强弱限制，以 及辅助安全登录的技术使用，来对当前的用户登录 系统的安全保护有一个初步认识。
淘宝网站要求用户设置一个包含数字和字母，并且长度超过6位以 上的密码，可以增加密码的复杂性，提高暴力攻击的难度。
网络空间安全技术实践教程
8
1.1 用户登录系统使用和分析
实验步骤： 1）淘宝网站登录系统分析及使用
(3)分析与思考 淘宝网站提供了密码登录和扫码登录，同时淘宝网站提示“扫码登 录更安全”，请使用网络搜集信息，试着分析扫码登录的原理，并说明 为什么扫码登录更安全。
除此之外，还可以用绑定手机进行快捷登录（见图1-1-8），网站 向绑定手机发送动态密码，并验证动态密码，并且动态密码只在一段时 间内有效。
网络空间安全技术实践教程
13
1.1 用户登录系统使用和分析
3）土豆视频网站登录系统分析及使用
(2) 修改土豆视频账户密码 登录账号后，可以在账户设置-账户安全-安全设置中找到修改登录 密码服务。进入修改密码后，首先需要通过短信验证绑定的手机号，并 且在修改密码时还需要输入原密码，如图1-1-9所示。
网络空间安全技术实践教程
11
1.1 用户登录系统使用和分析
2）网易163网站登录系统分析及使用
(3)分析与思考
如图1-1-5所示，网易163网站在密码登录时使用“验证码”作为登 录安全辅助技术，请使用网络搜集信息，试着分析“验证码”技术原理， 并总结归纳目前验证码技术的种类。
网络空间安全技术实践教程
土豆视频网站要求用户设置一个只能使用字母、数字和符号的6-16 位密码，同样没能有效排除低安全性的密码。
网络空间安全技术实践教程
14
1.1 用户登录系统使用和分析
3）土豆视频网站登录系统分析及使用
(3) 分析与思考 如图1-1-7所示，土豆视频网站提供了密码登录，手机快捷登录， 关联帐号登录等3类登录方式，在关联账户登录中，土豆视频可以使用淘 宝，支付宝，QQ，Wechat以及微博账户进行登录，请试着分析土豆视频 采取广泛的关联帐号登录的目的是什么？并请使用网络搜集信息，试着 分析关联帐号登录的技术原理，并说明其带来的安全性和问题。
网络空间安全技术实践教程
9
1.1 用户登录系统使用和分析
2）网易163网站登录系统分析及使用
(1)登录网易163网站账户 网易163网站只有密码登录一种方式。密码登录（见图1-1-5）可通 过网易邮箱或常用邮箱作为用户身份标识，使用密码登录。
网络空间安全技术实践教程
10
1.1 用户登录系统使用和分析