先要知道李逵是李逵
鉴别是指信息系统利用单一或者多重鉴别机制对用户(设备)所声称身份的真实性进行验证的过程。简言之,即将用户标识符与用户联系的过程称为鉴别,鉴别过程主要用于识别用户的真实身份,鉴别操作总是要求用户具有能够证明他的身份的特殊信息,并且这个信息是秘密的,任何其他用户都不能拥有它。为证实其身份的真实性,用户还应在标识的同时提供一种或几种鉴别信息。
不让李鬼冒充李逵
一般来说,作为身份认证的信息可以分为三类,即用户所知道的信息;用户所持有的信息;用户的特征;三种认证信息举例情况是这样,如口令属于用户所知道的;智能卡属于用户所持有的;指纹则属于用户的特征。利用这三类身份认证信息中的任何一类均可建立用户身份的认证机制,当然,同时利用两种或三种信息的组合来作为身份认证机制,会进一步增强认证机制的有效性和强壮性。
提供多种鉴别信息也正是网络安全等级测评中第三级以上信息系统的安全计算环境的身份鉴别所要求的内容,在网络安全等级保护的第三级安全计算环境之身份鉴别的 d)项,是这么描述的“应采用口令 、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现 ”,我们在日常中称这个要求为“多因素认证”。
我们看到这里要求的是两种或两种以上的鉴别技术,而不是两“个”。所以,如果某单位信息系统内的设备采用的是口令作为鉴别方式,那么无论能设置几组口令或已经设置几组口令,在等级保护测评中这项都是不符合的,而且作为2.0的三级以上系统作为高风险项,涉及到用户测评报告结果得分,所谓高风险项也就是“一票否决”项,所以这里需要特别注意。当然在高风险项补救措施中,如下:
1、如设备通过本地登录方式(非网络方式)维护,本地物理环境可控,可酌情降低风险等级。
2、采用两重用户名/口令认证措施(两重口令不同),例如身份认证服务器、堡垒机等手段,可酌情降低风险等级。
另外,在三级系统中高风险判例中指出是对重要核心设备、操作系统等通过不可控网络环境远程进行管理,这里也是一个思考点。
指纹图片
对于大多数信息系统来说,鉴别一般是在用户登录时发生的,系统提示用户输入口令,然后判断用户输入的口令是否与系统中存在的该用户的口令一致。口令机制是简便易行的鉴别手段,但通常比较脆弱,从常规报道与人们的生活习惯,我们知道许多用户常常使用自己的姓名、配偶的姓名、宠物的名字或者生日作为口令,这种口令很不安全,因为这种口令很难经得住常见的字典攻击的。 较安全的口令通常我们建议是不少于8个字符,较严格一点的话不少于12个字符,随着硬件性能和攻击口令工具的不断更迭,口令长度建议是宜长不宜短。并同时含有数字、字母大小写和特殊符号,并且限定一个口令的生存周期。 另外,前面我们提到了多因素认证,随着生物认证技术的不断发展,作为一种比较有前途的鉴别用户身份的方法,利用指纹、视网膜甚至是行为习惯等作为鉴别技术。目前有关技术巳取得了长足进展,已经在多种场合达到了实用水平。
虹膜扫描
信息安全人员的渗透利器Kali Linux 2019.4发行
联系客服