免费智能真题库 > 历年试卷 > 信息安全工程师 > 2017年上半年 信息安全工程师 上午试卷 综合知识
  第19题      
  知识点:   攻击者   口令认证技术
  关键词:   安全   脆弱性   攻击        章/节:   认证技术方法       

 
在使用复杂度不高的口令时,容易产生弱口令的安全脆弱性,被攻击者利用,从而破解用户账户,下列设置的口令中,( )具有最好的口令复杂度。
 
 
  A.  morrison
 
  B.  Wm.$*F2m5@
 
  C.  27776394
 
  D.  wangjing1977
 
 
 

 
  第23题    2022年下半年  
   0%
目前,计算机及网络系统中常用的身份认证技术主要有:口令认证技术、智能卡技术、基于生物特征的认证技术等。其中不属于生物特征的..
  第37题    2016年下半年  
   48%
WI-FI网络安全接入是一种保护无线网络安全的系统,WPA加密的认证方式不包括(37)。
  第37题    2018年上半年  
   38%
WI-FI网络安全接入是一种保护无线网络安全的系统,WPA加密的认证方式不包括( )。
   知识点讲解    
   · 攻击者    · 口令认证技术
 
       攻击者
        根据网络攻击来源,攻击者可分成两大类:内部人员和外部人员。根据网络攻击的动机与目的,常见的攻击者可以分为六种:间谍、恐怖主义者、黑客、职业犯罪分子、公司职员和破坏者。
 
       口令认证技术
        口令认证是基于用户所知道的秘密而进行的认证技术,是网络常见的身份认证方法。网络设备、操作系统和网络应用服务等都采用了口令认证技术。例如,Windows2000系统、UNIX系统、BBS、电子邮件、Web服务、FTP服务都用到了口令认证。口令认证一般要求参与认证的双方按照事先约定的规则,用户发起服务请求,然后用户被要求向服务实体提供用户标识和用户口令,服务实体验证其正确性,若验证通过,则允许用户访问。
        设用户A的标识为UA,口令为PA,服务方实体为B,则认证过程描述如下:
        第一步,用户A发送消息(UAPA)到服务方B。
        第二步,B收到(UAPA)消息后,检查UAPA的正确性。若正确,则通过用户A的认证。
        第三步,B回复用户A验证结果消息。
        目前,服务方实体B通常会存储用户A的口令信息。一般安全要求把口令进行加密变换后存储,口令非明文传输。
        口令认证的优点是简单,易于实现。当用户要访问系统时,要求用户输入“用户名和口令”即可。例如,当使用者以超级管理员身份访问Solaris操作系统时,要求输入root用户名和root的口令信息,如下图所示。
        
        Solaris的口令认证示意图
        但是,口令认证的不足是容易受到攻击,主要攻击方式有窃听、重放、中间人攻击、口令猜测等。因此,要实现口令认证的安全,应至少满足以下条件:
        . 口令信息要安全加密存储;
        . 口令信息要安全传输;
        . 口令认证协议要抵抗攻击,符合安全协议设计要求;
        . 口令选择要求做到避免弱口令。
        目前,为了保证口令认证安全,网络服务提供商要求用户遵循口令生成安全策略,即口令设置要符合口令安全组成规则,同时对生成的口令进行安全强度评测,从而促使用户选择安全强度较高的口令。如下图所示,某系统要求用户的口令设置符合安全规则,同时进行口令安全强度检查。
        
        口令安全生成示意图
   题号导航      2017年上半年 信息安全工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第19题    在手机中做本题