读书频道 > 网站 > 网页设计 > 信息安全工程(第2版)
2.5 系统问题
12-07-29    叶孤城
收藏    我要投稿   

本文所属图书 > 信息安全工程(第2版)

本书第1版于2001年问世后,受到了全球广大读者的热烈欢迎。今天的安全领域已经发生了巨大变化:垃圾邮件发送者、病毒编写者、网络钓鱼者、洗钱者以及间谍们的作案水平不断提升,搜索引擎、社交网络乃至电子投票机...立即去当当网订购
尽管在密码方面公众关注度增长最快的是钓鱼问题,最大的研究主题是心理学,但是,还存在其他大量情况,这些情况下,攻击者可以采用其他方式盗取或猜测密码或者突破系统。出于完整性的需要,这里还要对密码条目与存储的技术问题进行简要的讲述。
我已经注意到,最大的系统问题是,是否可以对密码猜解的次数进行限制。有时候,安全工程师将限制了猜解次数的密码系统称为"在线"(比如ATM PIN),没有限制猜解次数的称为"离线"(这原本指的是这样一类系统,即用户可以从中取回密码文件,并在其他机器上猜解其他用户的密码,包括有更高权限的用户的密码)。这些术语现在已经不再那么精确,有些离线系统也会对密码猜解次数进行限制,比如越来越多的国家在ATM与零售终端上使用智能卡,这些终端设备对智能卡磁条上的PIN进行检测,并依赖于其防篡改能力来对猜解次数进行限制;而很多在线系统并不对猜解次数进行限制,比如,如果用户使用Kerberos登录,接线的攻击者可以监测到使用用户密码加密的从服务器传输到用户客户端的密钥,之后通过线路传输使用密钥加密的数据,因此,攻击者可以花费时间来穷尽所有可能的密码。
密码可猜测性不仅是系统级的设计问题,还有其他一些问题(并且彼此交互)。在本节中,将描述大量与威胁模型以及技术防护有关的问题-- 下次你设计密码系统时可以参考这些问题。
就像我们只能在特定威胁模型的上下文中讨论安全协议的合理性一样,我们也只能基于要防御的攻击类型来对密码方案进行评价。广义地说,对密码的攻击包括:
对某个账号的专门攻击:攻击者努力而专注地猜解特定用户的密码。比如,攻击者可以猜解比尔·盖茨的银行账号或竞争对手的办公室登录密码,以便直接做一些坏事-- 如果还涉及发送电子邮件,就是所谓的鱼叉式网络钓鱼。
尝试渗透某系统中的任意账号:入侵者尝试以某系统中任意用户的身份登录,这是典型的钓鱼式攻击做法,攻击者总是尝试获取目标银行在线服务中的任意用户的密码。
尝试渗透任意系统中的任意账号:入侵者只需要特定域中任意系统上的一个账号,但并不关心具体是哪个账号。这方面的实例包括,攻击者尝试对在线服务的密码进行猜解,以便从破解得到的账号发送垃圾邮件,或用其Web空间来设立钓鱼站点(哪怕只用几个小时)。惯用的做法是对大量随机选取的账号尝试1、2个常见的密码(比如password1),其他可能的攻击者包括私家侦探,他们的任务是进入公司的内网,并登录到域内随机选择的计算机上,将其作为内网渗透的桥头堡。
拒绝服务攻击:攻击者希望阻止合法用户使用系统,这可能针对某个特定账号,也可能是针对整个系统范围。
通过这种分类方法,在评估密码系统时,可以询问下列问题。
 
点击复制链接 与好友分享!回本站首页
分享到: 更多
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:1.3 功能
下一篇:1.5 小结
相关文章
图文推荐
JavaScript网页动画设
1.9 响应式
1.8 登陆页式
1.7 主题式
排行
热门
文章
下载
读书

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做最好的IT技术学习网站