中国IDC产业年度大典--云入口安全之账号安全--上

云入口安全之账号安全张建伟2012-1-112作者介绍•spark，安全从业9年，淘宝网用户安全专家–＊nix攻防–Web安全–业务安全数据净化身份认证客户端安全社会工程学灾备业务云的安全4•账号安全概述1•账号安全防御2•账号安全的未来3今天的内容概述账号安全概述账号的定义•账号代表用户在服务实体拥有某种资格•账号信息一般包含–Username–Password–userid–User_nick–User_mobile–User_tickit–……用于身份认证的一些账号信息•你所知道的（Whatyouknow）–知识、口令、密码•你所拥有的（Whatyouhave）–身份证、信用卡、钥匙、智能卡、令牌等•你的个人特征（Whatyouare）–指纹，笔迹，声音，手型，脸型，视网膜，虹膜账号常见安全问题•账号关键信息泄露或被盗•账号权限/身份被劫持•垃圾账号注册•账号被拒绝服务使用账号和密码获取账号操作权限是最常见的一种身份认证方式身份认证是账号安全最关键的一个环节账号安全防御将基于多种风险假设账号安全问题现状身份认证的一些类型基于口令的身份认证Kerberos身份认证协议基于X509的身份认证基于生物特征的身份认证基于密码的身份认证–账号名称–密码–认证周期•客户端输入•网络传输•服务端认证后分配权限口令认证是最常见身份认证任何一个环节出问题都会导致身份被劫持15密码的一些特点»普通用户平均只能记住7个密码»用户在不同网站的用户名和密码很大程度是相同的»70%以上的用户都在存储介质上记录过自己的密码»500种模式的弱口令就可以覆盖82%的互联网用户16当前阶段密码认证的安全威胁»至少90%以上的网站登录过程都不使用https»黑客组织非法拥有大量账号密码数据»密码MD5和对应明文的字典数据库»网站登录只做单向认证，用户密码容易被骗»窃取身份认证成功后的tickit比窃取密码本身更加容易17账号被滥用的几个主要途径