一个强口令认证方案的攻击与改进

讨论了于江等新近提出的一个简单高效的基于USB-Key的强口令认证方案(USPA),指出该方案无法实现所声称的抵抗DoS攻击、重放攻击、Stolen-Verifier攻击和服务器仿冒攻击。给出一个改进方案,并对其安全性和效率进行了详细的分析。结果表明,改进方案弥补了USPA的安全缺陷,并且保持了较高的效率,适用于安全需求较高的移动应用环境。

强口令认证协议的组合攻击

基于强口令的身份认证机制是目前身份认证技术发展的一个重要方向 .本文对IEICE上新近提出的一个优化强口令身份认证协议OSPA(OptimalStrong PasswordAuthentication)进行了分析 ,并利用本文首次提出的组合攻击方法对其进行了有效攻击 .攻击结果表明该协议对凭证被窃问题、中间人攻击。

通过强口令实现网络系统应用的安全保护分析

本文从口令安全机制模型入手,分析了现实中因口令的设计与管理而带来的种种安全问题,给出了构建一个强口令的必要条件,并结合实际分析了口令设计的"敏感问题"。

强口令生成器原理

拙文<基于.NET的现代密码技术应用编程>谈到,为了解决密钥的随机性与难以记忆的矛盾,我们可以采用比较容易记忆的口令,使用PasswordDeriveBytes类生成强密钥.但是,这同样存在强力攻击口令的情形.也就是说,我们的口令也必须有足够的随机性,即强壮性.我们可以开发一个口令生成器加以解决.下面介绍工作原理.

使用智能卡的动态口令认证机制

动态口令身份认证机制是目前身份认证技术发展的一个重要方向。但是在很多动态口令机制中,用户的认证数据通常利用在服务器储存的验证因子进行掩码传输,如果验证因子被盗,攻击者就可以伪造验证数据,因此动态口令认证机制易遭受盗窃攻击。最近提出了一种新的抗盗窃攻击的动态口令认证方案2GR,但是2GR不能抵抗拒绝服务攻击,也没有提供用户和服务器的双向认证。将在2GR方案的基础上提出一个基于智能卡的改进方案,该方案能解决上述问题。

一种PKI体系下的私钥安全存取方案

针对私钥安全存取问题,提出了一种私钥安全存取方案。该方案引入了私钥托管箱技术,为私钥的集中管理和私钥的漫游提供了保证;引入的门限技术避免了私钥托管箱单点服务失败造成私钥丢失的问题,同时防范了私钥托管箱服务器系统内部的攻击;采用加强口令的身份认证方案进一步为私钥访问和传输提供了安全保证。

企业级免密认证系统开发实践

论文提出了一种基于企业级内外网应用场景的非涉密登录关键技术——"身份口令扫码识别"复合技术,避免在一个平台下面同时获取帐号、密码问题,同时避免在输入过程中出现帐号密码明文的问题。在使用过程中无需用户输入用户账号和密码,通过"手机扫码+动态数字"方式验证,一键完成认证登录企业应用。

7个易学易用的堵漏手段

黑客一直在寻找新的系统漏洞、想出新的攻击手法。他们都偏爱哪些方法呢?您又该如何应对呢?下面谈及了7个易学易用的堵漏手段,可为您提供有价值的参考。