确定认证系统缺陷 抵御黑客攻击

日期: 2009-08-12 作者:Vernon Haberstetzer翻译:Sean 来源:TechTarget中国 英文

啊,好古老的登录界面。没有这个界面,安全系统还能算得上完善吗?不管是网站登录界面还是Unix登录提示符,大多数系统的安全都完全依靠一个有效的用户名和密码来证明用户的身份。由于这通常是唯一的访问条件,所以很值得把你的身份验证安全系统放在放大镜下测试一下,看看能不能找出一些身份验证的弱点并看看他们如何拦截好奇的黑客。   黑客通过猜测常用的用户名和密码的方法来暴力进入一个系统是非常普遍做法。

最好避免使用”admin”、”test”、”user”和任何默认的用户名。需要避免的常用密码有用户ID、”password&#……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

啊,好古老的登录界面。没有这个界面,安全系统还能算得上完善吗?不管是网站登录界面还是Unix登录提示符,大多数系统的安全都完全依靠一个有效的用户名和密码来证明用户的身份。由于这通常是唯一的访问条件,所以很值得把你的身份验证安全系统放在放大镜下测试一下,看看能不能找出一些身份验证的弱点并看看他们如何拦截好奇的黑客。

  黑客通过猜测常用的用户名和密码的方法来暴力进入一个系统是非常普遍做法。最好避免使用"admin"、"test"、"user"和任何默认的用户名。需要避免的常用密码有用户ID、"password"、"pass"和任何预设的密码。有些系统在登录失败时显示的信息让用户更容易发现一个有效的用户名。这些信息可能会说, “无效的用户ID”。这告诉黑客,他或她应继续猜测用户名。当一个有效的用户名被发现,恶意黑客就可以看到另一个提示信息,如,“密码无效。”理想的情况下,无论失败的原因,系统的登录失败的信息应该是通用的,如“无效的用户名和密码”。否则,黑客可以列举出有效的用户ID,并开始猜测密码,寻找到薄弱的一个。我们在下面要讲到的正是密码。
 
  弱密码是认证系统的一个重要的安全弱点。如果可能的话,强制网络上的每一个系统,特别是网络边界上的系统遵循密码规则。密码和帐户的规则应至少需要混合字母和数字,并应指定最小密码长度,提供密码历史,帐户锁定和密码到期。如果可能的话,设置密码规则,不允许密码和用户名或者用户的名或姓相同,因为这些都容易猜到。我目标是迫使用户选择强密码。

  要真正加强你的认证机制,你应该建立双因素或三因素认证系统。多因素验证意味着,用户身份验证必须提交至少两种不同类型的证书。有三类验证因素:“你拥有的”,“你知道的”,“你是什么”。认证机制的每个因素应来自不同的类别。换句话说,用户ID和密码仍只是单因素认证,因为这两个件事情都属于"你知道的"。一些有效的组合应是这样的:一个电子密钥和个人身份号码(PIN)配合,指纹识别和密码配合或者视网膜扫描仪和你的声音配合。

  通过改善你的认证机制,黑客想暴力进入你的系统变得更加困难。除了多因素认证系统,上述建议的采用并不会让你增加太多成本,如果有的话。

翻译

Sean
Sean

相关推荐