TechTarget安全 > 百科词汇

CRAM:挑战应答认证机制

挑战应答认证机制(CRAM,challenge-response authentication mechanism)是一个二级超文本传输协议网络用户身份认证机制,包括基本认证和精细认证。

  使用挑战应答认证机制(CRAM),服务器(代理服务器或网关)会以“401未授权”形式发出密码请求,密码只有用户和服务器知道。当服务器接到用户回应时,会检查密码的正确性,正确则用户被认证授权;如果未被认证授权,或者由于其他网络问题导致服务器不接受密码时,则发出“403禁止”的消息,此站点禁止访问。CRAM还有其他安全特性,如强加密性。

  CRAM基本形式容易被滥用,因为密码比较容易被窃取。精细认证则比较复杂,密码不显示为通过网络发送的明文,这只是加强了安全性,但并不能完全阻止黑客破坏。精细认证在一定情况下还是会被攻击,比如未验证黑客身份为超级用户。这就使得黑客有可能使用拒绝服务性的攻击方式,使得授权用户不能通过认证。

最近更新时间:2009-01-18 作者:Susan PrestageEN

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 4种类型的访问控制

    完善的身份和访问管理(IAM)策略需要正确利用政策、流程和技术。当企业想通过零信任网络安全原则取得成功时,这些 […]

  • 10款API安全测试工具帮助降低风险

    API是现代应用程序架构的核心。然而,由于其重要性以及提供数据和资源访问的能力,它们经常成为攻击者的目标。 A […]

  • 如何防止DDoS攻击

    分布式拒绝服务(DDoS)攻击,尽管广为人知,但仍然是恶意行为者用来对企业造成财务和声誉损害的常见的方法。 然 […]

  • API安全成熟度模型用于评估API安全态势

    随着企业使用的API数量不断增加,保护这些代码位比以往任何时候都更加重要,它们使软件能够通信。为此,团队必须审 […]