计算机安全用户名口令方式

admin管理员组

文章数量:1638820

2024年7月10日发(作者：)

一、 用户名/口令方式

用户名/口令（密码）是最简单也是最常用的身份认证方法，是基于"what you know"的验证手段。每

个用户的口令是由用户自己设定的，只有用户自己才知道。只要能够正确输入口令，计算机就认为操作者

就是合法用户。

传统的认证技术主要采用基于口令的认证方法。当被认证对象要求访问提供服务的系统时，提供服务

的认证方要求被认证对象提交该对象的口令，认证方收到口令后，将其与系统中存储的用户口令进行比较，

以确认被认证对象是否为合法访问者。

这种认证方法的优点在于：一般的系统（如UNIX，Windows等）都提供了对口令认证的支持，对于封

闭的小型系统来说不失为一种简单可行的方法。

然而，基于口令的认证方法存在下面几点不足：

①用户每次访问系统时都要以明文方式输入口令，这时很容易泄密（如被“肩部冲浪者”即窥视者看

见）。

②口令在传输过程中可能被截获。

③系统中所有用户的口令以文件形式存储在认证方，攻击者可以利用系统中存在的漏洞获取系统的口

令文件。

④用户在访问多个不同安全级别的系统时，都要求用户提供口令，用户为了记忆的方便，往往采用相

同的口令。而低安全级别系统的口令更容易被攻击者获得，从而用来对高安全级别系统进行攻击。

⑤只能进行单向认证，即系统可以认证用户，而用户无法对系统进行认证。攻击者可能伪装成系统骗

取用户的口令。

对于第②点，系统可以对口令进行加密传输。对于第③点，系统可以对口令文件进行不可逆加密。尽

管如此，攻击者还是可以利用一些工具很容易地将口令和口令文件解密。

基于口令的认证方式是最常用的一种技术，但它存在严重的安全问题。安全性仅依赖于口令，口令一

旦泄露，用户即可被冒充。由于用户为了方便记忆往往选择简单、容易被猜测的口令，这个问题往往成为

安全系统最薄弱的突破口。口令一般是经过加密后存放在口令文件中，如果口令文件被窃取，那么就可以

进行离线的字典式攻击。于是就出现了动态口令认证技术。

二、动态口令认证

动态口令技术也称为一次性口令技术，即用户每次登录系统时都使用不同的口令，这个口令用过后就

立刻作废，不能再次使用。动态口令技术也就是业界广泛提到的多因素身份认证方式，或是双因素身份认

证方式的一种。它是动态口令牌、口令牌生成的口令和口令牌自身保护的PIN码等多种因素的一种结合，

来达到判别用户的唯一身份。

图4-1口令牌

1、使用动态口令认证时，需要用户持有“认证器” 或者“口令牌” ，它们是用来生成动态密码的装

置。 动态口令技术即通过“口令牌” 得到随时变化的、不可预知的、一次性有效的口令，客户在登录时

用动态口令代替固定口令，通过认证后， 该口令即失效， 既有效的提高了身份认证的安全性，同时免除

了用户记忆密码和经常需要更换密码的麻烦。

2、到目前为止， 动态口令技术主要应用发展分为三种： 时间同步技术， 事件同步技术和挑战/应答

（异步）技术。

· 挑战/应答（异步） ：也称为异步令牌，其令牌和服务器之间除相同的算法外没有需要进行同步的

条件，用户登录时每次由服务器传过来一个挑站值， 用户将挑站值输入到口令牌中计算口令，并将计算的

口令输入再回传给服务器进行认证， 就像两个人对暗号一样，暗号对上， 认证 就通过。

· 时间同步：基于令牌和服务器的时间同步，通过运算来生成一致的动态口令，基于时间同步的令牌，

一般更新率为 60 秒，每60 秒产生一个新口令。

· 事件同步：基于事件同步的令牌，其原理是通过某一特定的事件次序及相同的种子值作为输入，在

算法中运算出一致的密码。用户每次登录时按一下口令牌生成一个口令， 服务器在用户登录时每次生成一

个口令与口令牌中的口令进行对比。

3、动态口令认证系统一般由三个部份组成：

· 动态口令令牌：硬件设备， 像一个小的计算器， 用来生成口令， 可以随身携带。

· 动态口令认证服务器： 认证服务器端是动态口令认证系统的核心，负责响应认证系统客户端所发

过来的用户认证请求（动态口令），完成用户的身份认证。

· 代理软件（Agent） ： Agent（代理软件）以及基于各种标准的访问协议（如 RADI US 协议）构

成认证转发点， 安装在受保护的系统上， 负责将用户的认证请求转发到认证服务器端；

4、对于上述的这三种技术都需要用户持有一个“认证器” 或是“口令牌” 来生成动态密码。 而为

防止动态口令牌丢失时，被别人盗用， 一般口令牌使用 PIN码保护， 根据PIN码保护的形式不同， 令

牌又具有如下两种特征：

· 软Pi n 码保护： 软PIN码是在密码输入窗口输入动态密码时， 同时输入的个人记忆的静态口

令，将其和令牌生成的动态密码一同输入弹出的用户名口令窗口， 传送到服务器端实现认证。

· 硬Pi n 码保护： 硬PIN码既是在开启口令牌时要求输入的记忆密码，不知道该密码的人员不能

使用口令牌，既不能开机，类似于手机的PIN码，这个PIN码不会再输入到弹出的登陆窗口。 由于软Pi

n 码每次用户登录时均在网络中传输， 又由于该密码的传输过程中并不进行加密， 故易被窃听，故在安

全级别较高的情况下， 建议使用有数字键盘的可以用硬PIN码进行保护的硬件口令牌， 从而杜绝安全漏

洞。

5、动态口令作为一种强身份认证机制，其更适用于对网络设备的认证应用。 在当前越来越广泛使用

数字证书或USB Key 的身份认证方式的情形下， 动态口令在对网络设备方面的认证不可取代。 USB Key

对 Windows 服务器登录， Telnet 登录都有局限性， 而动态口令在这方面有很好的解决方案。动态口令

可以保护以下的系统：

· 拨号服务器及路由器、 交换机

· 防火墙

· VPN 系统

· Ci tri x

· MS Windows NT/2000 域和服务器

· UNIX 系统(Solaris, HP-UX, AIX, Linux)

· RADI US 兼容设备 除此之外， 动态口令也提供Authenticaton SDK进行二次开发， 用户便能够更好

的保护自己的应用系统。

本文标签： 口令认证用户动态系统