专业信息安全工程师网站|培训机构|服务商(2019信息安全工程师学习QQ群:327677606,客服QQ:270019001)

软题库 培训课程
当前位置:信管网 >> 信息安全工程师 >> 综合知识 >> 文章内容
常用网站口令强度分析概述-信息安全工程师知识点
来源:信管网  2019年05月14日  【信管网:信息安全工程师专业网站所有评论

信息安全工程师知识点:常用网站口令强度分析概述

近几年来,相对于口令破解技术的快速发展,为了提高口令抗破解攻击的能力,口令强度度量的研究一直是口令安全领域的重要研究方向。

目前口令强度度量领域的主要研究方向是对口令强度进行定量计算。口令强度度量算法使用一个口令字符串作为输入,其计算结果通常反映了攻击者破解该口令需要花费的开销值。口令强度度量的结果通常可以用来指导用户选择合适的口令,或是在用户创建口令时用一些强制策略来确保口令的强度达到一定标准。

目前,国内外主流网站使用的口令强度度量机制通常依靠口令的长度,以及口令中、使用到的字符类型数量(大写字母、小写字母、数字、特殊符号4个字符集,对应ASCII码表32~126,共计95个字符)来度量口令的强度,并以此作为限制条件阻止眉户创建弱口令。然而,这样的算法效果较差,往往导致一些弱口令被系统接受,而一些强口令反而被拒绝。

用户身份认证是信息系统的第一道安全防线,用户名-口令机制则是身份认证中最常用的方法。尽管现在也出现了一些诸如图形认证、用户生理特征认证和基于硬件等多种身份认证方法,但是口令机制具有易懂、易用和易于实现的特点,这使得口令机制在今后一段时间依然是用户身份认证的一个重要方法。但是基于用户名和口令的身份认证依赖于用户所选口令的安全级别,而用户在选择口令的时候很难生成一个自己容易记忆并且强度很高、很难被攻击的口令。因此准确地理解和判断用户口令的安全性已经成为了一今非常活跃和重要的研究领域。

口令强度研究,主要是研究如何评测口令的强度,常局的方法有基于信息熵的评测和基于攻击效果的评测。目前各个主流网站使用的口令强度度量方法主要有两类,一类是利用Ajax技术将口令加密后传输到服务器端,由服务器解密后再计算口令强度。然而让服务器获取口令明文是与安全原则相违背的。另一类方法是使用JavaScript,完全在用户前端Web页面实现口令强度度量。但这类方法通常而言度量算法比较简单,不能准确地衡量口令的强弱,使得许多被接受的口令强度仍然较弱,容易被某些口令猜测方法破解。目前国内的大部分网站都采用的是JS这种方式来衡量口令强度。




分享到: 新浪微博 腾讯朋友 收藏本页
发表评论  查看完整评论  

相关内容

推荐文章
合作网站内容