翻译:中国科学技术大学信息安全专业老师 ■几种机制结合起来可以增强保护。加密和访问控制用来保护口令文件。 ■通过隐匿而获得的安全性只能防御不经心的入侵者。不要对这种策略抱太多的信任。 ■如果可能的话,将安全相关的数据和那些要被公开访问的数据隔离开来。在Unx中,/ etc/passwd包含有以 上两种数据。影子口令文件能够获得所希望的隔离性 25一次签到 用口令来区分朋友和敌人已经有几个世纪了。在I环境中,它们控制对计算机、网络、程序和文件等的访问。 但作为用户,如果你为获取一点信息而在信息空间漫游时必须一遍又一遍地输入口令,你会觉得很不方便。当你坐 在计算机前,需要网络中某台数据库服务器中的信息时,如果你必须做以下一些事情,你会觉得愉快吗: 向计算机输入第一个口令, ■输入第二个口令进入网络 ■输入第三个口令访问服务器 ■输入第四个口令访问数据库管理系统, ■输入第五个口令打开数据库中的一张表 且不去想可能需要记忆五个不同的口令,并需要在每一种场合选择一个正确的口令输入,就是将相同的口令重 复输入五遍也是够糟糕的了。 次签到服务解决了这个问题。你只要输入一次口令,系统保存这个口令,并在你需要重新认证的时候为你取 出口令做这件事 这样一种一次签到服务为你增加了方便,但它也引起了新的安全问题。你如何保护存储的口令?前面提到的 些技术不再有用,因为系统现在需要你的明文形式的口令。 系统设计者必须均衡考虑方便性和安全性。易于使用是使得IT系统真正有用的一个重 要因素,不幸的是,许多方便的举措也引入了新的弱点。后面还会遇到这样的问题。 26可供选择的方法 如果你不满足于口令提供的安全等级,你还可以做什么呢?从一般观点来看,以下选择都是可取的。作为用户, 你可以基于以下信息进行认证 ■你知道的事, 你拥有的东西 你是谁 ■你做什么 ■你在哪里。 你知道的事 用户必须知道一些“秘密”才能被认证。你已经看到了这种认证模式的第一个例子,口令就是你知道的事情 另一个例子是同银行卡一起使用的个人识别号码(PIN)或者类似标记 okens)。第三个例子,考虑你打电话查询银 行帐户的情形,接听电话的银行职员在告诉你任何信息之前可能会向你询问更多的个人信息,像家庭住址、出生日 期、配偶名字等 在这种认证模式中,获知你秘密的任何人就“是你”,另一方面,如果你把你的秘密告诉其他人,你不会留下 痕迹。考虑以下情形,在你单位发生了滥用计算机的事件,有人用你的用户名和口令注册了。你能证明你是无辜的 吗?你能证明你没有泄漏口令吗? 你拥有的东西 用户必须出示一个物理标记才能被认证。能打开锁的钥匙就是你拥有的东西,这种标记的另一个例子是用于控 制进入公司大门的卡片或身份标签。在将来,一旦智能卡的读卡机成为工作站的标准部件,智能卡可能成为口令的 替代物 物理标记可能会遗失或被盗。如前所述,任何拥有标记的人将具有与合法拥有者相同的权利。为了增加安全性, 物理标记通常与你知道的事结合起来使用,如银行卡与PIN一起使用,或者它们包含能够识别合法用户的信息,如 银行卡上的照片。然而,就是将这些机制结合起来也不能防止骗子获得必要的信息去假冒合法用户,也不能阻止用 户自愿传递这些信息。 第11页共36页创建日期:2003-11翻译：中国科学技术大学信息安全专业老师 第 11 页 共 36 页 创建日期：2003-11 ■几种机制结合起来可以增强保护。加密和访问控制用来保护口令文件。 ■通过隐匿而获得的安全性只能防御不经心的入侵者。不要对这种策略抱太多的信任。 ■如果可能的话，将安全相关的数据和那些要被公开访问的数据隔离开来。在 Unix 中，/etc/passwd 包含有以 上两种数据。影子口令文件能够获得所希望的隔离性。 2.5 一次签到 用口令来区分朋友和敌人已经有几个世纪了。在 IT 环境中，它们控制对计算机、网络、程序和文件等的访问。 但作为用户，如果你为获取一点信息而在信息空间漫游时必须一遍又一遍地输入口令，你会觉得很不方便。当你坐 在计算机前，需要网络中某台数据库服务器中的信息时，如果你必须做以下一些事情，你会觉得愉快吗： ■向计算机输入第一个口令， ■输入第二个口令进入网络， ■输入第三个口令访问服务器， ■输入第四个口令访问数据库管理系统， ■输入第五个口令打开数据库中的一张表。 且不去想可能需要记忆五个不同的口令，并需要在每一种场合选择一个正确的口令输入，就是将相同的口令重 复输入五遍也是够糟糕的了。 一次签到服务解决了这个问题。你只要输入一次口令，系统保存这个口令，并在你需要重新认证的时候为你取 出口令做这件事。 这样一种一次签到服务为你增加了方便，但它也引起了新的安全问题。你如何保护存储的口令？前面提到的一 些技术不再有用，因为系统现在需要你的明文形式的口令。 系统设计者必须均衡考虑方便性和安全性。易于使用是使得 IT 系统真正有用的一个重 要因素，不幸的是，许多方便的举措也引入了新的弱点。后面还会遇到这样的问题。 2.6 可供选择的方法 如果你不满足于口令提供的安全等级，你还可以做什么呢？从一般观点来看，以下选择都是可取的。作为用户， 你可以基于以下信息进行认证： ■你知道的事， ■你拥有的东西， ■你是谁， ■你做什么， ■你在哪里。 你知道的事 用户必须知道一些“秘密”才能被认证。你已经看到了这种认证模式的第一个例子，口令就是你知道的事情。 另一个例子是同银行卡一起使用的个人识别号码（PIN）或者类似标记(tokens)。第三个例子，考虑你打电话查询银 行帐户的情形，接听电话的银行职员在告诉你任何信息之前可能会向你询问更多的个人信息，像家庭住址、出生日 期、配偶名字等。 在这种认证模式中，获知你秘密的任何人就“是你”，另一方面，如果你把你的秘密告诉其他人，你不会留下 痕迹。考虑以下情形，在你单位发生了滥用计算机的事件，有人用你的用户名和口令注册了。你能证明你是无辜的 吗？你能证明你没有泄漏口令吗？ 你拥有的东西 用户必须出示一个物理标记才能被认证。能打开锁的钥匙就是你拥有的东西，这种标记的另一个例子是用于控 制进入公司大门的卡片或身份标签。在将来，一旦智能卡的读卡机成为工作站的标准部件，智能卡可能成为口令的 替代物。 物理标记可能会遗失或被盗。如前所述，任何拥有标记的人将具有与合法拥有者相同的权利。为了增加安全性， 物理标记通常与你知道的事结合起来使用，如银行卡与 PIN 一起使用，或者它们包含能够识别合法用户的信息，如 银行卡上的照片。然而，就是将这些机制结合起来也不能防止骗子获得必要的信息去假冒合法用户，也不能阻止用 户自愿传递这些信息