網(wǎng)絡(luò)安全之身份認(rèn)證---基于口令的認(rèn)證

基于口令的認(rèn)證方式是較常用的一種技術(shù)。在最初階段，用戶首先在系統(tǒng)中注冊(cè)自己的用戶名和登錄口令。系統(tǒng)將用戶名和口令存儲(chǔ)在內(nèi)部數(shù)據(jù)庫中，注意這個(gè)口令一般是長期有效的，因此也稱為靜態(tài)口令。當(dāng)進(jìn)行登錄時(shí)，用戶系統(tǒng)產(chǎn)生一個(gè)類似于時(shí)間戳的東西，把這個(gè)時(shí)間戳使用口令和固定的密碼算法進(jìn)行加密，連同用戶名一同發(fā)送給業(yè)務(wù)平臺(tái)，業(yè)務(wù)平臺(tái)根據(jù)用戶名查找用戶口令進(jìn)行解密，如果平臺(tái)能恢復(fù)或接收到那個(gè)被加密的時(shí)間戳，則對(duì)解密結(jié)果進(jìn)行比對(duì)，從而判斷認(rèn)證是否通過；如果業(yè)務(wù)平臺(tái)不能獲知被加密的時(shí)間戳，則解密后根據(jù)一定規(guī)則（如時(shí)間戳是否在有效范圍內(nèi)）判斷認(rèn)證是否通過。靜態(tài)口令的應(yīng)用案例隨處可見，如本地登錄Windows系統(tǒng)、網(wǎng)上博客、即時(shí)通信軟件等。

基于靜態(tài)口令的身份認(rèn)證技術(shù)因其簡單和低成本而得到了廣泛的使用。但這種方式存在嚴(yán)重的安全問題, 安全性僅依賴于口令，口令一旦泄露，用戶就可能被假冒。簡單的口令很容易遭受到字典***、窮舉***甚至暴力計(jì)算破解。特別地，一些業(yè)務(wù)平臺(tái)沒有正確實(shí)現(xiàn)使用口令的認(rèn)證流程，讓用戶口令在公開網(wǎng)絡(luò)上進(jìn)行傳輸，認(rèn)證方收到口令后，將其與系統(tǒng)中存儲(chǔ)的用戶口令進(jìn)行比較，以確認(rèn)對(duì)象是否為合法訪問者。這種實(shí)現(xiàn)方式存在許多隱患，一旦記錄用戶信息的文件泄露，整個(gè)系統(tǒng)的用戶賬戶信息連同對(duì)應(yīng)的口令將完全泄露。網(wǎng)上發(fā)生的一系列網(wǎng)絡(luò)用戶信息被公開到網(wǎng)上的現(xiàn)象，反映的就是這種實(shí)現(xiàn)方式的弊病。另外，這種不科學(xué)的實(shí)現(xiàn)方式也存在口令在傳輸過程中被截獲的安全隱患。隨著網(wǎng)絡(luò)應(yīng)用的深入化和網(wǎng)絡(luò)***手段的多樣化，口令認(rèn)證技術(shù)也不斷發(fā)生變化，產(chǎn)生了各種各樣的新技術(shù)。為了防止一些計(jì)算機(jī)進(jìn)程模擬人自動(dòng)登錄，許多業(yè)務(wù)平臺(tái)還增加了計(jì)算機(jī)難以識(shí)別的模糊圖形。

基于口令的身份認(rèn)證容易遭受如下安全***。

（1）字典***。***者可以把所有用戶可能選取的密碼列舉出來生成一個(gè)文件，這樣的文件被稱為“字典”。當(dāng)***者得到與密碼有關(guān)的可驗(yàn)證信息后，就可以結(jié)合字典進(jìn)行一系列的運(yùn)算，來猜測(cè)用戶可能的密碼，并利用得到的信息來驗(yàn)證猜測(cè)的正確性。

（2）暴力破解。也稱為“蠻力破解”或“窮舉***”，是一種特殊的字典***。在暴力破解中所使用的字典是字符串的全集，對(duì)可能存在的所有組合進(jìn)行猜測(cè)，直到得到正確的信息為止。

（3）鍵盤監(jiān)聽。按鍵記錄軟件以***方式植入到用戶的計(jì)算機(jī)后，可以偷偷地記錄下用戶的每次按鍵動(dòng)作，從而竊取用戶輸入的口令，并按預(yù)定的計(jì)劃把收集到的信息通過電子郵件等方式發(fā)送出去。

（4）搭線竊聽。通過嗅探網(wǎng)絡(luò)、竊聽網(wǎng)絡(luò)通信數(shù)據(jù)來獲取口令。目前，常見的Telnet、FTP、HTTP 等多種網(wǎng)絡(luò)通信協(xié)議均用明文來傳輸口令，這意味著在客戶端和服務(wù)器端之間傳輸?shù)乃行畔ⅲò魑拿艽a和用戶數(shù)據(jù)）都有可能被竊取。

（5）窺探。***者利用與用戶接近的機(jī)會(huì)，安裝監(jiān)視設(shè)備或親自窺探合法用戶輸入的賬戶和密碼。窺探還包括在用戶計(jì)算機(jī)中植入***。

（6）社會(huì)工程學(xué)（Social Engineering）。這是一種通過對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等設(shè)置心理陷阱進(jìn)行諸如欺騙、傷害等手段，取得秘密信息的手法。

（7）垃圾搜索。***者通過搜索被***者的廢棄物（如硬盤、U 盤、光盤等），得到與口令有關(guān)的信息。

為了盡量保證安全，在使用口令時(shí)通常需要注意以下幾點(diǎn)：

（1）使用足夠長的口令，不使用默認(rèn)口令；

（2）不要使用結(jié)構(gòu)簡單的字母或數(shù)字，盡量增加密碼的組合復(fù)雜度；

（3）避免在不同平臺(tái)使用相同的口令，并且要定期更換口令。

為克服靜態(tài)口令帶來的種種安全隱患，動(dòng)態(tài)口令認(rèn)證逐漸成為口令認(rèn)證的主流技術(shù)。顧名思義，動(dòng)態(tài)口令是指用戶每次登錄系統(tǒng)的口令都不一樣，每個(gè)口令只使用一次，因而也叫一次性口令（OTP , One Time Password），具有“一次一密”的特點(diǎn)，有效保證了用戶身份的安全性。但是如果客戶端與服務(wù)器端的時(shí)間或次數(shù)不能保持良好的同步，就可能發(fā)生無法使用的問題。OTP的原理是采用一類專門的算法（如單向散列函數(shù)變化）對(duì)用戶口令和不確定性因子（如隨機(jī)數(shù)）進(jìn)行轉(zhuǎn)換生成一個(gè)一次性口令，用戶將一次性口令連同認(rèn)證數(shù)據(jù)提交給服務(wù)器。服務(wù)器接收到請(qǐng)求后，利用同樣的算法計(jì)算出結(jié)果與用戶提交的數(shù)據(jù)對(duì)比，對(duì)比一致則通過認(rèn)證；否則認(rèn)證失敗。通過這種方式，用戶每次提交的口令都不一樣，即使***者能夠竊聽網(wǎng)絡(luò)并竊取登錄信息，但由于***每次竊取的數(shù)據(jù)都只有一次有效，并且無法通過一次性口令反推出用戶的口令，從而極大地提升了認(rèn)證過程的安全性。 OTP 從技術(shù)上可以分為3種形式：“挑戰(zhàn)—應(yīng)答”、時(shí)間同步和事件同步。
動(dòng)態(tài)口令的3種方式
（1）“挑戰(zhàn)—應(yīng)答”?！疤魬?zhàn)—應(yīng)答”認(rèn)證機(jī)制中，通常用戶攜帶一個(gè)相應(yīng)的“挑戰(zhàn)—應(yīng)答”令牌。令牌內(nèi)置種子密鑰和加密算法。用戶在訪問系統(tǒng)時(shí)，服務(wù)器隨機(jī)生成一個(gè)挑戰(zhàn)并將挑戰(zhàn)數(shù)發(fā)送給用戶，用戶將收到的挑戰(zhàn)數(shù)手工輸入到“挑戰(zhàn)—應(yīng)答”令牌中，“挑戰(zhàn)—應(yīng)答”令牌利用內(nèi)置的種子密鑰和加密算法計(jì)算出相應(yīng)的應(yīng)答數(shù)，將應(yīng)答數(shù)上傳給服務(wù)器，服務(wù)器根據(jù)存儲(chǔ)的種子密鑰副本和加密算法計(jì)算出相應(yīng)的驗(yàn)證數(shù)，和用戶上傳的應(yīng)答數(shù)進(jìn)行比較來實(shí)施認(rèn)證。不過，這種方式需要用戶輸入挑戰(zhàn)數(shù)，容易造成輸入失誤，操作過程較為繁瑣。近年來，通過手機(jī)短信實(shí)現(xiàn)OTP驗(yàn)證碼用得比較廣泛。是目前主流的OTP驗(yàn)證方式，目前被廣泛用于交易系統(tǒng)以及安全要求較高的管理系統(tǒng)中。

（2）時(shí)間同步。原理是基于動(dòng)態(tài)令牌和動(dòng)態(tài)口令驗(yàn)證服務(wù)器的時(shí)間比對(duì)，基于時(shí)間同步的令牌，一般每60 s產(chǎn)生一個(gè)新口令，要求服務(wù)器能夠十分精確地保持正確的時(shí)鐘，同時(shí)對(duì)其令牌的晶振頻率有嚴(yán)格的要求，這種技術(shù)對(duì)應(yīng)的終端是硬件令牌。目前，大多數(shù)銀行登錄系統(tǒng)采用這種動(dòng)態(tài)令牌登錄的方式，用戶持有一個(gè)硬件動(dòng)態(tài)令牌，登錄到系統(tǒng)時(shí)需要輸入當(dāng)前的動(dòng)態(tài)口令以便后臺(tái)實(shí)現(xiàn)驗(yàn)證。近年來，基于智能手機(jī)的軟件動(dòng)態(tài)令牌逐漸受到青睞，用戶通過在智能手機(jī)上安裝專門的客戶端軟件并由該軟件產(chǎn)生動(dòng)態(tài)口令完成登錄、交易支付過程。

（3）事件同步。事件同步機(jī)制的動(dòng)態(tài)口令原理是通過特定事件次序及相同的種子值作為輸入，通過特定算法運(yùn)算出相同的口令。事件動(dòng)態(tài)口令是讓用戶的的密碼按照使用的次數(shù)不斷動(dòng)態(tài)地發(fā)生變化。每次用戶登錄時(shí)（當(dāng)作一個(gè)事件），用戶按下事件同步令牌上的按鍵產(chǎn)生一個(gè)口令，與此同時(shí)系統(tǒng)也根據(jù)登錄事件產(chǎn)生一個(gè)口令，兩者一致則通過驗(yàn)證。與時(shí)鐘同步的動(dòng)態(tài)令牌不同的是，事件同步令牌不需要精準(zhǔn)的時(shí)間同步，而是依靠登錄事件保持與服務(wù)器的同步。因此，相比時(shí)間同步令牌，事件同步令牌適用于非常惡劣的環(huán)境中，即便是掉進(jìn)水中也不會(huì)發(fā)生失步問題。

基于口令認(rèn)證是目前使用最為廣泛的身份認(rèn)證技術(shù)，靜態(tài)口令認(rèn)證主要用于系統(tǒng)登錄時(shí)的身份驗(yàn)證如門戶網(wǎng)站、網(wǎng)上銀行的登錄。而在銀行支付、網(wǎng)上銀行轉(zhuǎn)賬、交易時(shí)一般采用靜態(tài)口令+動(dòng)態(tài)口令組合的方式進(jìn)行認(rèn)證。例如，在支付寶中交易時(shí)，支付寶系統(tǒng)要求用戶同時(shí)輸入支付口令及與該賬戶綁定的軟件動(dòng)態(tài)令牌。招商銀行在進(jìn)行低額度交易、轉(zhuǎn)賬時(shí)采用靜態(tài)口令與短信動(dòng)態(tài)驗(yàn)證碼，這種雙重保障的方式可以大大提高使用的安全性。