欢迎来到天天文库
浏览记录
ID:35237345
大小:25.00 KB
页数:3页
时间:2019-03-22
《账号、口令管理方法调查报告》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、关于用户账户、口令管理方法的调查报告一、引言:用户名/口令是当前最普遍的认证机制,几乎是操作系统、电子邮件、网站登录等通用的认证机制。根据Florencio_:l研究报告,每个普通用户平均拥有25个配有口令的账号,平均在3.9个不同网站使用同一口令,平均每天输8次口令。但是当前的口令机制面临了很多问题:网络钓鱼(Phishing)已经成为当前流行的网络诈骗方式,对当前的口令机制形成了重要的威胁。钓鱼攻击行为同时使用了社会工程学和技术欺骗手段:网络钓鱼者利用欺骗性的电子邮件和伪造的网页(网页与真实的十分类似),
2、骗取银行客户输入个人账号资料、口令等。对于用户来说,如何正确区分用户登录界面的真伪是一件很困难的事情。另外一种特殊钓鱼攻击称为网址嫁接(Pharming),通过修改地址映射将用户引导到钓鱼网站上去。同时掌握多个复杂的口令给用户带来记忆困难和输入困难两个问题。为综合多方优势以得出安全合用的口令策略,我做了以下关于用户账户、口令管理方法的调查报告。二、调查人员:陈丹妮(信管1201班12242002)三、调查时间及地点:2013年9月8号、图书馆四、调查方式:个人上网查询、查阅图书馆期刊资料五、调查结果及分析:1
3、.以大唐黑龙江新能源开发有限公司为例,其信息系统账号、口令管理办法如下:【账号的申请】(1)只有授权用户才可以申请账号;(2)申请账号前应该接受适当的培训,以确保能够正常的操作,避免对系统安全造成隐患;(3)账号相应的权限应该以满足用户需要为原则,不得授予与用户职责无关的权限;(4)系统应当严格限制开设公用账号,一般情况下公用账号不得具有访问保密信息和对系统写的权限;(5)匿名账号只被允许访问系统中可公开的资源,不得访问任何内部公开以上保密等级的资源且匿名账号对系统的访问必须有详细的记录。【口令的设立】(1)
4、账号口令必须是具有足够的长度和复杂度,使口令难于被猜测;(2)账号口令应定期进行修改;(3)新口令与旧口令之间应该没有直接的联系,以保证不可由旧口令推知新口令;(4)账号的口令不应当取有意义的词语或其他符号,如使用者的姓名,生日或其它易于猜测的信息。以上叙述的系公司信息系统账号与口令管理的行为准则办法,在管理方法上上能有效保证保密信息安全。2.某些口令管理系统为用户提供了软硬件工具。比如“无忧登录”是一种为用户管理口令的桌面端软件;无忧登陆为互联网用户提供便捷性的上网登陆服务,拥有无忧登陆的帐号,可以畅行互联
5、网,无忧登陆其中一个重要功能便是其密码保护,安全可靠,有高强度加密算法与基于图片密码的双因子认证,最大强度的保护邮箱、QQ的密码安全....还有RSA公司的“SecurelD”是一种创建一次性口令的硬件方案。另外一些口令管理系统使用单点登录技术,安全并且方便地鉴别用户。3.利用蓝牙手机实现口令管理的方法本方法的实现系统简称为SmartlD,该系统由计算机端的操作系统登录插件GINA和浏览器插件以及手机端应用程序构成,通过蓝牙连接实现计算机端和手机端的通信。SmartlD使用智能手机验证登录界面的合法性,将需要
6、保护的包括IP地址、Web页面特征等在内的登录界面信息储存在智能手机里,在登录时通过对登录界面信息的验证达到反钓鱼的目的。SmartlD能在操作系统和基于Web应用的用户登录界面中自动输入相应的口令,免去了用户对于口令的记忆困难和输入困难。同时SmartlD计算机端按一定频率检测蓝牙信号特征的变化,从而实现用户携带智能手机离开主机时自动锁定操作系统。该技术可以有效地提高用户在登录认证上的安全性,防止钓鱼攻击的发生。在应用性上,该技术不仅避免用户记忆繁琐复杂的口令和输入各种复杂的登录指令时发生错误,同时还具备了
7、携带方便、移植性较高、部署成本低等优势。六、账户口令泄露的案例【案例一】2011年中国互联网爆发大规模用户密码泄露事件2011年12月25日新华网报道,国内最大的程序员社区CSDN网站因遭遇黑客攻击,600万用户的登录名及密码日前被公开泄露,随后又有多家网站的用户密码被流传于网络,部分用户账号面临风险,网站将因此临时关闭用户登录,引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。【案例二】Linkkedln用户密码泄露2012年6月,职业社交网站Linkkedln被爆出其IOS应用程序会在用户不知情的
8、情况下收集信息,并上传数据到公司的服务器。另外,该网站的650万用户账户密码被泄露。芬兰信息安全公司CERT-TI已经向用户发出警告,虽然目前用户账户的详细资料没有被公布出来,但攻击者已经能够利用他们获取的用户密码访问用户数据。Linkkedln目前拥有超过1.5亿用户,所以这次泄露事件影响到的用户数量不会超过10%,即便如此,受影响的用户数量仍然非常庞大。被泄露的加密密码采用SHA-1算法加密,这
此文档下载收益归作者所有