翻译:中国科学技术大学信息安全专业老师 将访问控制建立在用户身份的基础上并不总是必需的或是合适的,然而在审计日志中使用身份却有非常充分的 理由。本章研究身份识别和认证,因为它是目前计算机系统的标准。分布式系统中的认证是第十章的内容。 目标 ■重温一种相当熟悉的机制,以此来了解一些一般性的经验, ■获得口令保护的入门知识。 ■懂得安全机制有赖于管理措施才能有效实施。 ■理解在计算机安全中使用抽象的危险性。 21用户名和口令 确切地说,你接触计算机安全是从你注册到一台计算机上并被要求输入你的用户名和口令开始的。第一步称为 识别,声明你是谁;第二步称为认证,你证明你就是你所声称的那个人。为了将“认证”这个词的用法与其他解释 区分开来,我们特别指: 实体认证验证一个被声称的身份的过程 旦你输入了用户名和口令,计算机就把你的输入和存在口令文件中的相应条目进行比较。当你输入了一个有 效的用户名和相应的口令后,注册就成功了。如果用户名或口令不正确,注册失败。通常注册画面会再次显示出来 你可以重试一次。有些系统记录失败的注册次数,并当次数达到某门限值时锁住用户帐号。为了减少攻击者使用已 有用户注册但无人看管的计算机的可能性,可以不仅在会话开始时要求认证,也可以在会话期间定期要求认证(重 复认证)。你也可以选择锁住屏幕,或当某个用户空闲太久时自动关闭其会话。 重复认证解决了计算机安全中一个熟悉的问题,称为 TOCTTOU( time of check to time of use),即操作系统在 会话开始时检査用户的身份,而随后在会话过程中使用身份作访问控制决策。 以前,你可能会在一个包含友好欢迎词和你将要使用的某些系统信息的屏幕上输入用户名和口令。如今,警惕 的系统管理员不会让外界获得太多的信息,并且将欢迎词换成了警告非授权用户不要进入。比如, Windows nr提 供有一个显示法律公告的选项,用户必须接受这些警告信息,注册才能进行下去 今天,大多数计算机系统使用基于用户名和口令的身份识别和认证作为它们的第一道防线。对于大多数用户来 说,这个机制己经成为在计算机上启动一个会话过程所不可缺少的组成部分。这样,我们就有了一个广泛接受而又 不难实现的机制:然而另一方面,获取有效的口令又是获得对计算机系统未授权访问的一种极其普通的方法。因此, 让我们来分析一下作为认证机制的口令的实际安全性。我们将考虑以下三种威胁: 口令猜测 口令欺骗 口令文件泄漏 不要忘了用户在口令保护中起着重要的作用。当你泄漏了口令,比如告诉了同事,或者写在便笺上并贴在计算 机上,都会危及到认证的安全。 22选择口令 口令选择是一个重要的安全问题。尽管你无法完全避免攻击者意外地猜测出有效的口令,但你可以努力使这种 事件的发生率尽可能的低。为说明如何做,你必须知道攻击者基本上遵循以下两种猜测策略: 穷尽搜索(强力):尝试有效符号所有可能的组合,直到一定的长度 智能搜索:通过一个受限的名字空间进行搜索,比如,尝试那些与用户有联系的口令,像名字、朋友和亲戚的 名字、汽车商标、车牌号、电话号码等,或者尝试那些较常流行的口令。这种方法的一个典型例子是字典政击,它 尝试来自于一个在线字典的所有口令。 那么,你的防卫措施是什么? ■设置口令:如果系统管理员或者用户忘了为用户帐户设置口令,攻击者甚至免除了猜测口令的麻烦 ■改变缺省口令:当系统被交付使用时,它们通常带有缺省的帐户,像具有缺省口令 manager(“管理员”)的 缺省帐户 system(“系统”)。这有助于现场工程师安装系统,但是如果口令不改,攻击者可以很容易地进入 系统。在刚才举的例子中,攻击者甚至可以获得一个非常有特权的帐户 ■口令长度:为了挫败穷尽搜索,必须规定一个最小口令长度。不幸的是,许多Unⅸx系统的最大口令长度只 设到8个字符而已。 ■口令格式:在你的口令中混合使用大、小写字母,并且包含数字和其他非字母符号 第8页共36 创建日期:2003-11翻译：中国科学技术大学信息安全专业老师 第 8 页 共 36 页 创建日期：2003-11 将访问控制建立在用户身份的基础上并不总是必需的或是合适的，然而在审计日志中使用身份却有非常充分的 理由。本章研究身份识别和认证，因为它是目前计算机系统的标准。分布式系统中的认证是第十章的内容。 目标 ■重温一种相当熟悉的机制，以此来了解一些一般性的经验。 ■获得口令保护的入门知识。 ■懂得安全机制有赖于管理措施才能有效实施。 ■理解在计算机安全中使用抽象的危险性。 2.1 用户名和口令 确切地说，你接触计算机安全是从你注册到一台计算机上并被要求输入你的用户名和口令开始的。第一步称为 识别，声明你是谁；第二步称为认证，你证明你就是你所声称的那个人。为了将“认证”这个词的用法与其他解释 区分开来，我们特别指： 实体认证 验证一个被声称的身份的过程。 一旦你输入了用户名和口令，计算机就把你的输入和存在口令文件中的相应条目进行比较。当你输入了一个有 效的用户名和相应的口令后，注册就成功了。如果用户名或口令不正确，注册失败。通常注册画面会再次显示出来， 你可以重试一次。有些系统记录失败的注册次数，并当次数达到某门限值时锁住用户帐号。为了减少攻击者使用已 有用户注册但无人看管的计算机的可能性，可以不仅在会话开始时要求认证，也可以在会话期间定期要求认证（重 复认证）。你也可以选择锁住屏幕，或当某个用户空闲太久时自动关闭其会话。 重复认证解决了计算机安全中一个熟悉的问题，称为 TOCTTOU（time of check to time of use），即操作系统在 会话开始时检查用户的身份，而随后在会话过程中使用身份作访问控制决策。 以前，你可能会在一个包含友好欢迎词和你将要使用的某些系统信息的屏幕上输入用户名和口令。如今，警惕 的系统管理员不会让外界获得太多的信息，并且将欢迎词换成了警告非授权用户不要进入。比如，Windows NT 提 供有一个显示法律公告的选项，用户必须接受这些警告信息，注册才能进行下去。 今天，大多数计算机系统使用基于用户名和口令的身份识别和认证作为它们的第一道防线。对于大多数用户来 说，这个机制已经成为在计算机上启动一个会话过程所不可缺少的组成部分。这样，我们就有了一个广泛接受而又 不难实现的机制；然而另一方面，获取有效的口令又是获得对计算机系统未授权访问的一种极其普通的方法。因此， 让我们来分析一下作为认证机制的口令的实际安全性。我们将考虑以下三种威胁： ■口令猜测 ■口令欺骗 ■口令文件泄漏 不要忘了用户在口令保护中起着重要的作用。当你泄漏了口令，比如告诉了同事，或者写在便笺上并贴在计算 机上，都会危及到认证的安全。 2.2 选择口令 口令选择是一个重要的安全问题。尽管你无法完全避免攻击者意外地猜测出有效的口令，但你可以努力使这种 事件的发生率尽可能的低。为说明如何做，你必须知道攻击者基本上遵循以下两种猜测策略： 穷尽搜索（强力）：尝试有效符号所有可能的组合，直到一定的长度。 智能搜索：通过一个受限的名字空间进行搜索，比如，尝试那些与用户有联系的口令，像名字、朋友和亲戚的 名字、汽车商标、车牌号、电话号码等，或者尝试那些较常流行的口令。这种方法的一个典型例子是字典攻击，它 尝试来自于一个在线字典的所有口令。 那么，你的防卫措施是什么？ ■设置口令：如果系统管理员或者用户忘了为用户帐户设置口令，攻击者甚至免除了猜测口令的麻烦。 ■改变缺省口令：当系统被交付使用时，它们通常带有缺省的帐户，像具有缺省口令 manager(“管理员”)的 缺省帐户 system(“系统”)。这有助于现场工程师安装系统，但是如果口令不改，攻击者可以很容易地进入 系统。在刚才举的例子中，攻击者甚至可以获得一个非常有特权的帐户。 ■口令长度：为了挫败穷尽搜索，必须规定一个最小口令长度。不幸的是，许多 Unix 系统的最大口令长度只 设到 8 个字符而已。 ■口令格式：在你的口令中混合使用大、小写字母，并且包含数字和其他非字母符号