口令身份认证的存储方式
Ⅰ Windows操作系统中账户口令以什么形式储存在什么文件中
一般情况下会用启动盘:
可以直接清除口令,这样再次开机的时候就没有密码了
可以修改口令,这样再次开机的时候就是修改后的口令
可以绕过密码开机,这样开机的时候不需要口令,可以直接启动电脑
一般来说,操作系统密码存在一个sam的文件中在c盘下
Ⅱ 关于身份认证技术
身份认证的方式
大致上来讲,身份认证可分为用户与主机间的认证和主机与主机之间的认证.用户与主机之间的认证可以基于如下一个或几个因素:
用户所知道的东西,例如口令,密码等.
用户拥有的东西,例如印章,智能卡(如信用卡等).
用户所具有的生物特征,例如指纹,声音,视网膜,签字,笔迹等.
下面对这些方法的优劣进行比较一下:
基于口令的认证方式是一种最常见的技术,但是存在严重的安全问题.它是一种单因素的认证,安全性依赖于口令,口令一旦泄露,用户即可被冒充.
基于智能卡的认证方式,智能卡具有硬盘加密功能,有较高的安全性.每个用户持有一张智能卡,智能卡存储用户个性化的秘密秘密信息,同时在验证服务器中也存放该秘密信息.进行认证时,用户输入PIN(个人身份识别码),智能卡认证PIN,成功后,即可读出秘密信息,进而利用该信息与主机之间进行认证.基于智能卡的认证方式是一种双因素的认证方式(PIN+智能卡),即使PIN或智能卡被窃取,用户仍不会被冒充.
基于生物特征的认证方式是以人体惟一的,可靠的,稳定的生物特征(如指纹,虹膜,脸部,掌纹等)为依据,采用计算机的强大功能和网络技术进行图像处理和模式识别.该技术具有很好的安全性,可靠性和有效性,与传统的身份确认手段相比,无疑产生了质的飞跃.
当然,身份认证的工具应该具有不可复制及防伪等功能,使用者应依照自身的安全程度需求选择一种或多种工具进行.在一般的观念上,认为系统需要输入密码,才算是安全的,但是重复使用的单一密码就能确保系统的安全吗?答案是否定的.常用的单一密码保护设计,使无法保障网络重要资源或机密的.主要是由于传统所用的密码很容易被猜测出来因为在一般人的习性上,为了记忆方便通常都采用简单易记的内容,例如单一字母,帐号名称,一串相容字母或是有规则变化的字符串等,甚至于采用电话号码,或者生日,身份证号码的内容.虽然很多系统都都会设计登录不成功的限制次数,但不足以防止长时间的尝试猜测,只要经过一定的时间总会被猜测出来.另外有些系统会使用强迫更改密码的方法,防止这种入侵,但是依照习性及好记的原则下选择的密码,仍然很容易被猜测出来.
生物认证技术应该是最安全的了。
Ⅲ 试述身份认证技术的三种基本方式,并指出何种安全性高。
用户身份认证可通过三种基本方式或其组合方式来实现:
(1)用户所知道的某个秘密信息,例如用户知道自己的口令。
(2)用户所持有的某个秘密信息(硬件),即用户必须持有合法的随身携带的物理介质,例如智能卡中存储用户的个人化参数,以及访问系统资源时必须要有的智能卡。
(3)用户所具有的某些生物学特征,如指纹、声音、DNA图案、视网膜扫描等等,这种认证方案一般造价较高,多半适用于保密程度很高的场合。
Ⅳ 身份认证的方式有几种可供选择,所以要看用户对自己网络的配置
无线上网设置1、无线网的身份认证采用校园统一身份认证系统,用户名为一卡通卡号,密码为统一身份认证密码。用户可以登录my.seu.e.cn进行密码维护。2、搜索无线网络:无线网络服务提供2个SSID,seu-wlan-web和seu-wlan,用户可以任意选择一个:3、选择“seu-wlan-web”服务选中“seu-wlan-web”点击连接,出现如下窗口:选择“仍然连接”即可。4、当出现“已连接上”后:打开浏览器,输入/seiclocal/BrasHelp.htm10、第一次身份认证成功后,Windows操作系统会自动将用户名和口令保存在注册表中,以后连接无线网时会自动登录。如果您和别人共用计算机,为了保障您的帐户安全,请下载本注册表文件,在使用完毕后运行该文件来清空您的用户记录。
Ⅳ 身份认证技术的历史
身份认证技术是指计算机及网络系统确认操作者身份的过程所应用的技术手段。
计算机系统和计算机网络是一个虚拟的数字世界。在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。
在真实世界中,验证一个人的身份主要通过三种方式判定,一是根据你所知道的信息来证明你的身份(what you know),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(what you have) ,假设某一个东西只有某个人有,比如印章等;三是直接根据你独一无二的身体特征来证明你的身份(who you are),比如指纹、面貌等。
信息系统中,对用户的身份认证手段也大体可以分为这三种,仅通过一个条件的符合来证明一个人的身份称之为单因子认证,由于仅使用一种条件判断用户的身份容易被仿冒,可以通过组合两种不同条件来证明一个人的身份,称之为双因子认证。
身份认证技术从是否使用硬件可以分为软件认证和硬件认证,从认证需要验证的条件来看,可以分为单因子认证和双因子认证。从认证信息来看,可以分为静态认证和动态认证。身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证的过程。 常用的身份认证方式用户名/密码是最简单也是最常用的身份认证方法,它是基于“what you know”的验证手段。每个用户的密码是由这个用户自己设定的,只有他自己才知道,因此只要能够正确输入密码,计算机就认为他就是这个用户。然而实际上,由于许多用户为了防止忘记密码,经常采用诸如自己或家人的生日、电话号码等容易被他人猜测到的有意义的字符串作为密码,或者把密码抄在一个自己认为安全的地方,这都存在着许多安全隐患,极易造成密码泄露。即使能保证用户密码不被泄漏,由于密码是静态的数据,并且在验证过程中需要在计算机内存中和网络中传输,而每次验证过程使用的验证信息都是相同的,很容易驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式一种是极不安全的身份认证方式。可以说基本上没有任何安全性可言。
IC卡认证
IC卡是一种内置集成电路的卡片,卡片中存有与用户身份相关的数据, IC卡由专门的厂商通过专门的设备生产,可以认为是不可复制的硬件。IC卡由合法用户随身携带,登录时必须将IC卡插入专用的读卡器读取其中的信息,以验证用户的身份。IC卡认证是基于“what you have”的手段,通过IC卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从IC卡中读取的数据还是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。因此,静态验证的方式还是存在根本的安全隐患。
生物特征认证
生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,不同的人具有相同生物特征的可能性可以忽略不计,因此几乎不可能被仿冒。
生物特征认证基于生物特征识别技术,受到现在的生物特征识别技术成熟度的影响,采用生物特征认证还具有较大的局限性。首先,生物特征识别的准确性和稳定性还有待提高,特别是如果用户身体受到伤病或污渍的影响,往往导致无法正常识别,造成合法用户无法登录的情况。其次,由于研发投入较大和产量较小的原因,生物特征认证系统的成本非常高,目前只适合于一些安全性要求非常高的场合如银行、部队等使用,还无法做到大面积推广。
USB Key认证
基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术,它采用软硬件相结合一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码学算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式:一是基于冲击/相应的认证模式,二是基于PKI体系的认证模式。
动态口令/动态密码
动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术。它采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份的确认。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要密码验证通过就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。
动态口令技术采用一次一密的方法,有效地保证了用户身份的安全性。 下面以PASSPOD系统为例,说明使用动态口令进行身份认证的过程。
PASSPOD动态口令身份认证系统主要由认证服务器、管理工作站、SDK开发包和客户端组成。
认证服务器 是系统的核心部分,安装在网络服务商的机房内,与业务系统服务器通过局域网相连接,控制所有上网用户对网络的访问,提供动态口令身份认证,根据业务系统的授权,访问系统资源。认证服务器具有自身数据安全保护功能,所用户数据经加密后存储在数据库中,认证服务器与管理工作站的数据交换也是将数据变换后,以密码的方式在网上传输。认证服务器有五个功能模块组成:用户管理、实时运算、认证管理、数据库、加密算法软件。
管理工作站 提供认证服务器的管理界面,它在网络管理员与认证服务器之间提供一个友好的操作界面,便于网络管理员实现系统维护和用户管理。通过管理工作站,网络管理员可以进行网络配置、发放客户端、删除、用户信息修改、服务统计和用户查询等操作。
SDK开发包 是针对不同网络服务商的应用平台而提供的不同的系统接口,网络服务商针对自己的应用系统调用相应的开发包即可使用PASSPOD系统。
客户端 是购买的一个专用硬件或是下载并安装在用户移动通讯终端上的应用程序,用户在登录时通过这个客户端获取动态一次性口令。
用户在登录时必须输入由客户端生成的一个动态密码,在登录服务器接收到这个密码后会将密码发送至PASSPOD服务器进行验证,验证通过用户就可以正常登录,失败的话服务器将拒绝用户的登录,成功使用过的密码将不能重复使用。
一个典型的用户认证过程如下:
(1)用户接通客户服务器,等候认证提示;
(2)运行客户端,输入显示的结果作为此时的登录口令;
(3)客户服务器前端接受认证口令,调用认证代理软件包与认证服务器进行通信并等待认证结果;
(4)认证服务器根据由用户身份确定的秘密数据计算出认证口令,与用户输入口令比较,并返回认证结果。
(5)客户服务器根据由认证服务器返回的结果决定用户登录成功与否。
未来,身份认证技术将朝着更加安全、易用,多种技术手段相结合的方向发展。动态口令将会成为身份认证技术的发展方向之一,动态口令的易用性也将不断提高。
身份认证技术主要包括数字签名、身份验证和数字证明。 数字签名数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输 , 特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用 HASH 函数( HASH( 哈希 ) 函数提供了这样一种计算过程:输入一个长度不固定的字符串,返回一串定长度的字符串,又称 HASH 值 ) 将一段长的报文通过函数变换,转换为一段定长的报文,即摘要。身份识别是指用户向系统出示自己身份证明的过程,主要使用约定口令、智能卡和用户指纹、视网膜和声音等生理特征。数字证明机制提供利用公开密钥进行验证的方法。
Ⅵ 身份认证协议如何设计
在现实生活中,我们个人的身份主要是通过各种证件来确认的,如身份证、户口本等。计算机网络信息系统中,各种计算资源(如文件、数据库、应用系统等)也需要认证机制的保护,确保这些资源被合法的使用者使用。在大多数情况下,认证机制和授权、审计紧密地结合在一起。身份认证是对网络中的主体进行验证的过程,用户必须提供他是谁的证明,即证实客户的身份与其所声称的身份是否相符的过程。身份认证往往是许多应用系统中安全保护的第一道防线,它的失败可能导致整个系统的失败。身份认证的依据包括:用户所知道的信息,例如口令、密钥等;用户所拥有的东西,例如身份证、护照、密钥盘等;用户的特征,例如指纹、笔迹、声纹、虹膜、DNA等。
身份认证分为单向认证和双向认证。如果通信的双方只需要一方被另一方鉴别身份,这样的认证过程就是一种单向认证。在双向认证过程中,通信双方需要互相确认对方的身份。
基于口令的认证
目前各类计算资源主要靠固定口令的方式来保护。这种以固定口令为基础的认证方式存在很多问题,对口令的攻击包括以下几种。
网络数据流窃听。攻击者通过窃听网络数据,非法截获口令,如下图所示。大量的通信协议(如Telnet、Ftp、基本HTTP)使用明文口令,这意味着它们在网络上是以未加密的格式传输数据的,而入侵者只需要使用协议分析器就能查看到这些信息,从而得到口令。
字典攻击。根据调查结果可知,大部分的人为方便记忆选用的密码都与自己周遭的事物有关,例如:身份证号码、生日、车牌号码等。某些攻击者会使用字典中的单词来尝试用户的密码。所以大多数系统都建议用户在口令中加入特殊字符,以增加口令的安全性。- 穷举攻击。也称蛮力破解。这是一种特殊的字典攻击,它使用字符串的全集作为字典。如果用户的口令较短,很容易被穷举出来,因而很多系统都建议用户使用长口令。
- 窥探。攻击者利用与被攻击系统接近的机会,安装监视器或亲自窥探合法的用户输入口令的过程,从而获得口令。
- 冒充欺骗。采用欺骗的方式获取口令。比如冒充是处长或局长骗取管理员信任得到口令等。冒充合法用户发送邮件或打电话给管理人员,以骗取用户口令等。
- 垃圾搜索。攻击者通过搜索被攻击者的废弃物,得到攻击系统有关的信息,如果用户将口令写在纸上又随便丢弃,则很容易成为垃圾搜索攻击的对象。
在口令的设置过程中,有许多个人因素在起作用,攻击者可以利用这些因素来解密。由于口令安全性的考虑,人们会被禁止把口令写在纸上,因此很多人都设法使自己的口令容易记忆,而这就给攻击者以可乘之机。
为了加强口令的安全性,可以采取以下措施:
- 在创建口令时执行检查功能,如检查口令的长度、是否是弱口令等。
- 强制使口令周期性过期,也就是定期更换口令。
- 保持口令历史记录,使用户不能循环使用旧口令。
基于口令的认证主要有以下几种方式:
基于单向函数
计算机存储口令的单向函数值而不是存储口令。在这种验证机制中,用户的口令在系统中以密文的形式存储,并且对用户口令的加密应使得从口令的密文恢复出口令的明文在计算上是不可行的。也就是说,口令一旦加密,将永不可能以明文形式在任何地方出现。这就要求对口令加密的算法是单向的,即只能加密,不能解密。用户访问系统时提供其口令,系统对该口令用单向函数加密,并与存储的密文相比较。若相等,则确认用户身份有效,否则确认用户身份无效。由于计算机不在存储口令表,所以敌手侵入计算机偷取口令的威胁就减少了。
掺杂口令
如果敌手获得了存储口令的单向函数值的文件,采用字典攻击是有效的。敌手计算猜测的口令的单向函数值,然后搜索文件,观察是否有匹配的。
Salt是使这种攻击更困难的一种方法。Salt是一随机字符串,它与口令连接在一起,再用单向函数对其运算。然后将Salt值和单向函数运算的结果存入主机中。Salt只防止对整个口令文件采用的字典攻击,不能防止对单个口令的字典攻击。
S/KEY
Lamport提出了一个简单的方法来挫败在线的口令窃听。该技术可以看作是一次性口令机制。这里,“一次性”的意思是A发送给H的口令不会重复,但是这些口令在计算上是相关的。这样,因为从协议的某次执行中窃听的口令以后不能再用,所以也就成功地防止了口令窃听。
在用户初始化时,A的口令记录设置为(IDA,fn(PA)),其中
fn(PA)=f(…(…(f(PA))…)…)
n是一个大整数。用户A只需记住PA。
用户A和H首次运行口令认证协议,在要求输入口令时,A的计算设备会要求A输入PA,然后重复计算f函数n-1次,得到fn-1(PA)。即使当n比较大时也能够很有效地完成。
在接收到fn-1(PA)以后,H会对接收到的口令执行一次f运算,得到fn(PA),然后执行正确性检验。如果通过检验,H就认为接收到的值是fn-1(PA),并且是从PA计算得到的,而该PA是在初始化时设定的,因此通信对方必然是A。这样A就被允许进入该系统。另外,H将会更新A的口令记录:用fn-1(PA)替换fn(PA)。
在下次运行这个协议时,A和H会分别使用fn-2(PA)和fn-1(PA),就像前面一次使用fn-1(PA)和fn(PA)一样。所以该协议是有状态的,它使用了计数器从n递减到1。当计数器的值是1时,A和H应该重新设置口令。
这种方法要求A和H在口令的状态上是同步的:当H在fi(PA)状态时,A必须处于fi-1(PA)状态。这种同步可能会丢失,例如因为“不可靠”的通信链路或主机系统“死机”。应该注意,这里的“不可靠”或“死机”可能是Malice造成的。
Lamport提出了一种简单的方法用于同步丢失时重建同步。本质上,该方法要求系统“向前跳”:如果A在fj(PA)状态而H在fk(PA),并且j≠k+1,那么同步就丢失了,此时我们要求系统“向前跳”,H到达fi(PA)状态,A到达fi-1(PA),其中i≤min(j,k)。很明显,这种重新同步的机制需要H和A的双方认证通信。
Lamport基于口令的远端访问机制已经被修补成一次性口令系统,称为S/KEY。S/KEY机制的修补是为解决不可靠通信问题提出的,该修补要求H为A维护一个计数器。在用户初始化时,H保存用户A的口令记录(IDA, fc(PA),c),其中c初始化为n。S/KEY机制过程如下:
前提:用户A和主机H已经设定A的初始口令记录(IDA, fn(PA),n),其中f是密码Hash函数;A知道口令PA,H中A的当前口令记录是(IDA, fn(PA),c),其中1≤c≤n。
目标:A向H认证,同时不以明文形式传输PA。
1). A→H:IDA;
2). H→A:c,“输入口令”;
3). A→H:fn-1(PA);
4). H从其口令文档中查找记录(IDA, fc(PA),c);如果f(Q)= fc(PA),就允许它接入,并把A的口令记录更新为(IDA, Q,c–1)。
(转载请提前告知)
Ⅶ 计算机中身份认证和消息认证的区别
1、性质不同
身份认证指通过一定的手段,完成对用户身份的确认。
消息认证(message authentication)指验证消息的完整性,当接收方收到发送方的报文时,接收方能够验证收到的报文是真实的和未被篡改的。它包含两层含义:验证信息的发送者是真正的而不是冒充的,即数据起源认证;验证信息在传送过程中未被篡改、重放或延迟等。
2、目的不同
身份验证的目的为确认当前所声称为某种身份的用户,确实是所声称的用户。在日常生活中,身份验证并不罕见;比如,通过检查对方的证件,我们一般可以确信对方的身份。虽然日常生活中的这种确认对方身份的做法也属于广义的“身份验证”,但“身份验证”一词更多地被用在计算机、通信等领域。
消息认证目的为了防止传输和存储的消息被有意无意的篡改。
3、方法不同
身份验证的方法有很多,基本上可分为:基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。不同的身份验证方法,安全性也各有高低。
消息认证包括消息内容认证(即消息完整性认证)、消息的源和宿认证(即身份认证0)、及消息的序号和操作时间认证等。它在票据防伪中具有重要应用(如税务的金税系统和银行的支付密码器)。
Ⅷ 计算机中使用什么方式验证用户身份合法性
1、静态密码
用户的密码是由用户自己设定的。在网络登录时输入正确的密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。
2、智能卡
内嵌有微芯片的塑料卡(通常是一张信用卡的大小)的通称。一些智能卡包含一个微电子芯片,智能卡需要通过读写器进行数据交互。智能卡配备有CPU、RAM和I/O,可自行处理数量较多的数据而不会干扰到主机CPU的工作。
3、USB KEY
基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。
4、短信密码
短信动态密码也称短信密码,是以手机短信形式发送的6位随机数的动态密码,也是一种手机动态口令形式,身份认证系统以短信形式发送随机的6至8位密码到客户的手机上,客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性 。
5、动态口令
动态口令牌是客户手持用来生成动态密码的终端,主流的是基于时间同步方式的,每60秒变换一次动态口令,口令一次有效,它产生6位动态数字进行一次一密的方式认证。
Ⅸ 门户中如何实现单点登录和统一身份认证
本案涉及三个概念及功能模块,即门户、单点登录和统一身份认证。
单点登录(Single Sign-On,缩写为SSO),它是目前业务整合时使用较多的一种解决方案,通过SSO,用户只需要在某个应用系统入口登录一次,就可以访问所有与该应用系统相互信任的其它应用系统。
目前成熟的SSO实现框架有很多,开源的有JOSSO、CAS等很多,你可以选择其中之一与门户集成即可,集成方法的问题可在选型后在网络中查找,可选方案请参考《Liferay 集成 CAS 实现单点登录与应用系统集成》 http://www.ibm.com/developerworks/cn/opensource/os-cn-liferay-cas/index.html
所谓身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。复杂一些的身份认证方式采用一些较复杂的加密算法与协议,需要用户出示更多的信息(如私钥)来证明自己的身份,如Kerberos身份认证系统。
目前基于SOA架构,可跨平台与多种类型的应用系统对接的统一身份认证平台也有很多,
身份存储方式有:通用关系型数据库、LDAP目录、Microsoft Active Directory(AD)等形式,可选方案可参考《Web Service Case Study: 统一身份认证服务》
https://www.ibm.com/developerworks/cn/webservices/ws-casestudy/part4/
或《Liferay与CAS及LDAP》http://www.huqiwen.com/2013/12/18/liferay-cas-ldap/
Ⅹ 如何利用加密技术进行身份认证
引言
随着互联网的不断发展,越来越多的人们开始尝试在线交易。然而病毒、黑客、网络钓鱼以及网页仿冒诈骗等恶意威胁,给在线交易的安全性带来了极大的挑战。据调查机构调查显示,去年美国由于网络诈骗事件,使得银行和消费者遭受的直接损失总计达24亿美元,平均每位受害者付出了约1200美元的代价。另据香港明报消息,香港去年由于网络诈骗导致的直接损失达140万港元。
层出不穷的网络犯罪,引起了人们对网络身份的信任危机,如何证明“我是谁?”及如何防止身份冒用等问题又一次成为人们关注的焦点。
主要的身份认证技术分析
目前,计算机及网络系统中常用的身份认证方式主要有以下几种:
用户名/密码方式
用户名/密码是最简单也是最常用的身份认证方法,是基于“what you know”的验证手段。每个用户的密码是由用户自己设定的,只有用户自己才知道。只要能够正确输入密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。即使能保证用户密码不被泄漏,由于密码是静态的数据,在验证过程中需要在计算机内存中和网络中传输,而每次验证使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此,从安全性上讲,用户名/密码方式一种是极不安全的身份认证方式。
智能卡认证
智能卡是一种内置集成电路的芯片,芯片中存有与用户身份相关的数据, 智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。智能卡认证是基于“what you have”的手段,通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。
动态口令
动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫作动态令牌的专用硬件,内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。
动态口令技术采用一次一密的方法,有效保证了用户身份的安全性。但是如果客户端与服务器端的时间或次数不能保持良好的同步,就可能发生合法用户无法登录的问题。并且用户每次登录时需要通过键盘输入一长串无规律的密码,一旦输错就要重新操作,使用起来非常不方便。
USB Key认证
基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。基于USB Key身份认证系统主要有两种应用模式:一是基于冲击/响应的认证模式,二是基于PKI体系的认证模式。
技术的回归
传统的身份认证技术,一直游离于人类体外,有关身份验证的技术手段一直在兜圈子,而且兜得越来越大,越来越复杂。以“用户名+口令”方式过渡到智能卡方式为例,首先需要随时携带智能卡,其次容易丢失或失窃,补办手续繁琐冗长,并且仍然需要你出具能够证明身份的其它文件,使用很不方便。
直到生物识别技术得到成功的应用,这个圈子才终于又兜了回来。这种“兜回来”,意义不只在技术进步,站在“体验经济”和人文角度,它真正回归到了对人类最原始生理性的贴和,并通过这种终极贴和,回归给了人类“绝对个性化”的心理感受,与此同时,还最大限度释放了这种“绝对个性化”原本具有的,在引导人类自身安全、简约生活上的巨大能量。
生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括:指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等;行为特征包括:签名、语音、行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术;将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术;将血管纹理识别、人体气味识别、DNA识别等归为“深奥的”生物识别技术。
与传统身份认证技术相比,生物识别技术具有以下特点:
(1) 随身性:生物特征是人体固有的特征,与人体是唯一绑定的,具有随身性。
(2) 安全性:人体特征本身就是个人身份的最好证明,满足更高的安全需求。
(3) 唯一性:每个人拥有的生物特征各不相同。
(4) 稳定性:生物特征如指纹、虹膜等人体特征不会随时间等条件的变化而变化。
(5) 广泛性:每个人都具有这种特征。
(6) 方便性:生物识别技术不需记忆密码与携带使用特殊工具(如钥匙),不会遗失。
(7) 可采集性:选择的生物特征易于测量。
(8) 可接受性:使用者对所选择的个人生物特征及其应用愿意接受。
基于以上特点,生物识别技术具有传统的身份认证手段无法比拟的优点。采用生物识别技术,可不必再记忆和设置密码,使用更加方便。
展望
就目前趋势来看,将生物识别在内的几种安全机制整合应用正在成为新的潮流。其中,较为引人注目的是将生物识别、智能卡、公匙基础设施(PKI)技术相结合的应用,如指纹KEY产品。PKI从理论上,提供了一个完美的安全框架,其安全的核心是对私钥的保护;智能卡内置CPU和安全存储单元,涉及私钥的安全运算在卡内完成,可以保证私钥永远不被导出卡外,从而保证了私钥的绝对安全;生物识别技术不再需要记忆和设置密码,个体的绝对差异化使生物识别树立了有始以来的最高权威。三种技术的有机整合,正可谓是一关三卡、相得益彰,真正做到使人们在网上冲浪时,不经意间,享受便捷的安全。