|
|
|
口令认证是基于用户所知道的秘密而进行的认证技术,是网络常见的身份认证方法。网络设备、操作系统和网络应用服务等都采用了口令认证技术。例如,Windows2000系统、UNIX系统、BBS、电子邮件、Web服务、FTP服务都用到了口令认证。口令认证一般要求参与认证的双方按照事先约定的规则,用户发起服务请求,然后用户被要求向服务实体提供用户标识和用户口令,服务实体验证其正确性,若验证通过,则允许用户访问。
|
|
|
|
设用户A的标识为UA,口令为PA,服务方实体为B,则认证过程描述如下:
|
|
|
|
|
|
第二步,B收到(UA,PA)消息后,检查UA和PA的正确性。若正确,则通过用户A的认证。
|
|
|
|
|
|
目前,服务方实体B通常会存储用户A的口令信息。一般安全要求把口令进行加密变换后存储,口令非明文传输。
|
|
|
|
口令认证的优点是简单,易于实现。当用户要访问系统时,要求用户输入“用户名和口令”即可。例如,当使用者以超级管理员身份访问Solaris操作系统时,要求输入root用户名和root的口令信息,如下图所示。
|
|
|
|
|
|
|
|
但是,口令认证的不足是容易受到攻击,主要攻击方式有窃听、重放、中间人攻击、口令猜测等。因此,要实现口令认证的安全,应至少满足以下条件:
|
|
|
|
|
|
|
|
. 口令认证协议要抵抗攻击,符合安全协议设计要求;
|
|
|
|
|
|
目前,为了保证口令认证安全,网络服务提供商要求用户遵循口令生成安全策略,即口令设置要符合口令安全组成规则,同时对生成的口令进行安全强度评测,从而促使用户选择安全强度较高的口令。如下图所示,某系统要求用户的口令设置符合安全规则,同时进行口令安全强度检查。
|
|
|
|
|
|
|
