| 一次性口令技术简介 |
| 作者:内详 来源:网络搜集 点击数:
更新时间:2008-3-31 18:11:40 |
|
|
一次性口令技术简介
作者:JunTuan
常规口令
在现实生活中,我们个人的身份主要是通过各种证件来确认的,比如:身份证、户口本等。计算机世界与现实世界非常相似,各种计算资源(如:文件、数据库、应用系统)也需要认证机制的保护,确保这些资源被应该使用的人使用。在大多数情况下,认证机制与授权和记账也紧密结合在一起。
目前各类计算资源主要靠固定口令的方式来保护。比如你需要访问一个NT系统,首先必须在这个NT上设置一个账户,并设定密码。当通过网络访问NT资源时,系统会要求输入你的账户名和密码。在账户和密码被确认了以后,你就可以访问NT上的资源了。
这种以固定口令为基础的认证方式存在很多问题,最明显的是以下几种:
网络数据流窃听(Sniffer) 由于认证信息要通过网络传递,并且很多认证系统的口令是未经加密的明文,攻击者通过窃听网络数据,就很容易分辨出某种特定系统的认证数据,并提取出用户名和口令。
认证信息截取/重放(Record/Replay) 有的系统会将认证信息进行简单加密后进行传输,如果攻击者无法用第一种方式推算出密码,可以使用截取/重放方式。
字典攻击 由于多数用户习惯使用有意义的单词或数字作为密码,某些攻击者会使用字典中的单词来尝试用户的密码。所以大多数系统都建议用户在口令中加入特殊字符,以增加口令的安全性。
穷举尝试(Brute Force) 这是一种特殊的字典攻击,它使用字符串的全集作为字典。如果用户的密码较短,很容易被穷举出来,因而很多系统都建议用户使用长口令。
窥探 攻击者利用与被攻击系统接近的机会,安装监视器或亲自窥探合法用户输入口令的过程,以得到口令。
社交工程 攻击者冒充合法用户发送邮件或打电话给管理人员,以骗取用户口令。
垃圾搜索 攻击者通过搜索被攻击者的废弃物,得到与攻击系[1] [2] [3] 下一页
|
|
| 教程录入:yxdoor 责任编辑:yxdoor |
上一篇教程: 系统运行时间轻松查
下一篇教程: 网络安全八大趋势 |
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
