什么是信息安全中的动态密码认证?

动态密码也称为一次性密码。用于解决传统的静态密码认证无法应对窃听、重放、制作、猜测等问题。

使用动态密码,在入住过程中对认证信息中的不确定性进行处理,使认证信息每次都不一样,提高了入住过程中信息的安全性。该技术可以有效防止重放攻击,解决静态密码在传输和数据库中容易被盗的问题。

有三个字段被传输到认证服务器或 KDC。这些是用户设备的主体 ID、主体密码和当前系统时间戳。主要密码和时间戳首先经过哈希处理,然后发送。

在服务器端,服务器检查以查看用户是否正确。服务器拥有真实的主体 ID 和主体密码对的数据库。服务器首先通过比较时间戳来验证重放攻击。然后服务器通过比较接收到的和服务器生成的值的哈希值来检查是否提供了正确的密码。下一个过程是生成用于加密票证的密钥。

动态密码方法通过使用智能卡的处理能力为每次验证尝试制作多个密码来增强传统密码方法。智能卡每天创建几次新密码。主机实现与智能卡相同的算法,因此它在任何给定时间都知道密码令牌的当前有效密码。

卡发行商使用同步程序启动系统中的每张卡,该程序将初始化代码或种子加载到密码令牌和主机中。用于决定密码的种子和算法是保密的。每张卡的种子值和初始化代码都是唯一的,因此在给定时间没有两张卡必须具有相同的密码。在不了解算法、种子和初始化值的情况下,某人不可能在任何给定时间预测有效密码。

在身份验证期间,密码令牌显示当前密码,该密码被发送到主机。验证者将收到的密码与正常值进行比较。如果标识符连接,则主机接受卡。这种方法提供了卡的真实性,因为每个密码的生命周期很短,并且算法随每张卡而变化并保持秘密。

这种方法在不使用 CAD 的情况下实现身份验证。而不是,用户将数据(即,卡的身份号码和密码)输入计算机终端以实现远程登录。用于这种认证方法的智能卡需要电池、显示器,有时还需要键盘。

以上是 什么是信息安全中的动态密码认证? 的全部内容, 来源链接: utcz.com/z/297333.html

回到顶部