文章目录
- 一、认证与会话管理
-
- [1.1 密码](#1.1 密码)
- [1.2 Session认证](#1.2 Session认证)
- [1.3 Token认证](#1.3 Token认证)
- [1.4 多因素认证](#1.4 多因素认证)
- 二、暴力破解
- 三、权限控制
-
- [3.1 垂直权限管理](#3.1 垂直权限管理)
- [3.2 水平权限管理](#3.2 水平权限管理)
一、认证与会话管理
认证(Authentication)
- 认证实际上就是一个验证凭证的过程
- 目的是为了认出用户是谁
授权(Authorization)
- 授权是授予用户可以操作的权限
- 目的是为了决定用户能够
1.1 密码
- 密码是最常见的认证手段,持有正确密码的人被认为是可信的
- 密码的优点是使用成本低,认证过程实现起来简单
- 缺点是密码认证是一种比较弱的安全方案,可能会被猜解
- "密码强度"是设计密码认证方案时第一个需要考虑的问题
- 密码长度
- 密码复杂度
- 密码有限周期、历史密码记录
yacas
最常见的认证方式就是用户名与密码
提示:在密码强度的选择上,每个网站都有自己的策略,目前并没有一个标准的密码策略!1.2 Session认证
1.3 Token认证
1.4 多因素认证
- 对于很多重要的系统来说,如果只有密码作为唯一的认证手段,从安主上看略显不足。
- 因此为了增强安全性,大多数网上银行和网上支付平台都会采用双因素或多因素认证。
yacas
常见认证因素:
1、支付密码
2、手机动态口令
3、数字证书
4、支付盾二、暴力破解
暴力破解:是指黑客利用密码字典,使用穷举法猜解出用户密码。
- 暴力破解是现在最为广泛使用的攻击手法之一
- 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作
yacas
- 理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。
- 一个系统存在暴力破解漏洞,一般是指该系统没有采用或者采用了比较弱的认证安全策略,导致其被暴力破解的"可能性"变的比较高如何提高暴力破解难度?
- 要求用户设置复杂的密码
- 认证时加入验证码校验
- 对尝试登录的行为进行判断和限制(如:连续输入3次错误密码,进行账号锁定或IP地址锁定等)
三、权限控制
权限控制:某个主体对某个客体实施某种操作,而系统对这种操作的限制就是权限控制,也称为访问控制。
权限管理方式:1.垂直权限管理 2.水平权限管理
3.1 垂直权限管理
3.2 水平权限管理
- 相对于垂直权限管理来说,水平权限问题出现在同一个角色上。
- 系统只验证了能访问数据的角色,然而没有对角色内的用户做细分,也没有对数据的子集做细分
- 缺乏一个用户到数据之间的对应关系。(如:只看服务员,不管服务员里面是否有张三、李四、王五···)
yacas
注意事项:
- 水平权限管理问题,至今仍然是一个难题
- 它难以发现,难以在统一框架下解决
- 很难通过扫描等自动化测试方法将这些问题全部找出