在这个时代,虽然很多人也意识到了信息安全的重要性,但是目前很多的场景里,还是用一些比较简单的方式来做身份的认证。比如网站登录,还是很多地方都是使用的用户名和口令机制。
身在信息安全产品设计这一个行当里,我当然早就清楚有哪些好的方法可以使身份认证(登录)更加安全,但是这些安全措施,很多都是要增大成本且不易实施的。在这种情况下,想方设法变得更安全,其实就是成本和安全之间的一个平衡,如何掌握好度,是最关键的。
就说一个网站的登录吧,直接在浏览器中,把用户填写的用户名、口令直接发给web服务器肯定是不好(因为走的是互联网,被偷听者截取去了就完了)。近年来的研究表明,成熟的协议如HTTPS,也是有漏洞可能被偷听的。
目前流行的是把口令送过去,数据库里保存着(比较简答的是明文口令,和用户登录送来的口令比对;稍微好一点的呢,数据库里是口令的MD5或SHA1,把送来的口令做MD5或SHA1,再对比。后一种主要是怕数据库被攻击,用户口令泄露)。
那么我设想的增强怎么做呢?我的设想是这样的:
上图中,SHA1是一种摘要算法,和MD5作用是一样的。不过MD5几年前被山东大学的王晓云教授破解,所以一般我都写SHA1,当然,实际使用中,MD5在这种场景下也是可以使用的。
现在已经有成熟的 javascript 库来做SHA1或MD5,到网上随便一搜就能搜到,所以不再赘述。
在上面这个流程图里。实际上送到服务器端的是K,K与服务器端随机数有关,因此,偷听者即便拿到K,也必须在当前的session里才能使用。
我们看到,虽然对高级的黑客或者木马(尤其是键盘木马)没有什么大的作用,但是对付偷听已经没有问题。而对付键盘木马,可以使用一些虚拟键盘等方式来解决,这也是成熟的一种技术,因此不再展开说了。
总的来说,上面的方案算是一种成本非常低廉的改进方案,至少,不是把口令(口令表示了用户的身份凭据)完全暴露在偷听者的面前啊,而是提高了偷听和攻击的难度。
相关推荐
用户帐号只有系统管理员才能建立 2.2、口令管理 用户的口令是对系统安全的最大安全威胁,对网络用户的口令进行验证是防止非法访问 的第一道防线。用户不像系统管理员对系统安全要求那样严格,他们对系统的要求是简 ...
好司机网络科技 网络安全管理制度 1 机房管理...安全的口令真的可以让机器算几 千年,不安全的口令只需要一次就能猜出。 不安全的口令有如下几种情况: (1)使用用户名(账号)作为口令。尽管这种方法在便于记忆上
网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息,它对网络安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变网络安全策略研究(一)全文共2页,...
如果管理不严格 ,网络安全意识不强,都会对网络安全造成威胁,如用户名和口令设置不妥,重要机密 数据不加密,数据备份不及时,用户级别权限划分不明确或根本无级别限制,就容易导 致病毒、黑客和非法受限用户...
2.2 安装防火墙所谓"防火墙",是指一种将内部XX和公众访问XX(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个XX络通讯时执行的一种访问操纵尺度,它网络安全及应对策略(全文)全文共3页,当前为第...
它是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。 计算机网络安全及防范策略全文共3页,当前为第2页。 计算机网络安全及防范策略全文共3页,当前为第2页。 共分三种类型:特殊用户...
拒绝cookies信息: cookies是一种特殊的文本文件,它是由Web服务器保存在用户硬盘上的一段信息。包括了用户上网的一些浏览记录,例如访问过什么网站,浏览过什么内容,在填写表单时输入了哪些信息等 禁止cookies信息...
如下所示: (3)通过以下两种方法把用户test放入Power Users组中, 方法一:单击左侧的"组"—双击右侧的"Power Users",出现Power Users属性界面,单击"添加"— "高级"—"立即查找",出现选择用户对话框,从用户...
用户名和密码属于身份认证的一种方式,还可以利用磁性卡片、指纹、声音以及视网膜等先进的身份验证方式,对用户的身份信息进行核查。第二,对计算机网络进行监视报警。对于使用计算机网络的合法用户进行信息的记录,...
1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”...
本文从现代计算机常遇到的网络问题、计算机网络安全重要性、计算机网络安全的防 范措施等进行了详细阐述,以使广大用户在使用计算机网络时加强安全防范意识。 一.现代计算机常遇到的网络问题 1.解密攻击。在互联网上...
1.3.3、每年雷雨季节到来之前应对运行中的防雷元器件进行一次检测,雷雨季节中 要加强外观巡视,发觉异常应及时处理。 1.3.4、房设备应有适当的防震措施。 1.4、接地要求 1.4.1、独立的数据网络机房必须有完善的...
经过以上的更改基本就可以访问了,你可以尝试选择一种适合你的方法。下面在再补充点其它可能会遇到的问题。 7.网络邻居不能看到计算机 可能经常不能在网络邻居中看到你要访问的计算机,除非你知道计算机的名字或者...
企业可以要求访问者在企业 网络访问时提供用户口令,在输入登录密码错误多次的情况下,网络管理员可以进行适 当警告或者用户名锁定,之后进行用户相关信息验证之后再解锁。除此之外,依照用户 的形式不一,网络操作...
4、 不要将所有的口令都设置为相同的,可以为每一种加上前缀。 5、 不要为了防止忘记而将密码记下来。将密码记在大脑以外的任何地方都 是愚蠢的行为。 6、 不要死守一个密码,要经常更换,特别是遇到可疑情况的时候...
用户依照系统提示输入用户名和口令 B. 人员尝试登录他人计算机,输入口令不对,系统提示口令措施,并记录本次登录失败的 过程 C. 用户在网络上共享Office文档,并设定哪些用户可以阅读、修改 D. 用户使用加密软件对...
管辖的系统存在漏洞而不自知的话,就算没被人‘干掉',也只是一种暂时的‘虚假安全'。 一、小榕流光使用的简单说明 要谈流光还真找不着感觉——在小榕的帮助文件里已经把软件的使用方法详尽无比地描述过了...
它通过数据库存储加密等安全方法实现了数据库数据存储保密和完整性要求,使得数据库以密文方式存储并在密态方式下工作,确保了数据安全。 1.1 数据库加密技术的功能和特性 经过近几年的研究,我国数据库加密技术...
系统识别功能进行了加强,并去掉了一些可由脚本完成的插件。 感谢isno和Enfis提供优秀插件,感谢悟休、quack帮忙精选nasl脚本列表,也感谢其他提供优秀思路 和协助测试的朋友。 X-Scan v2.3 -- 发布日期:09/29/...