超级会员免费看
网络认证攻击与防御全解析
1. 密码猜测攻击
密码猜测攻击是指生成一个密码文件,用于对特定账户的密码进行多次“猜测”。这种方法较为“手动”且耗时,若针对“活跃”登录账户进行攻击,还可能触发账户锁定机制。通常,密码猜测会与社会工程学或其他账户收集技术结合使用,以提高攻击者准确猜出账户和密码组合的几率。
2. 基于令牌的认证
基于令牌的认证是一种双因素认证方案,利用挑战 - 响应机制,结合软件或硬件令牌,对用户进行特定资源的认证。其目标通常是生成一次性密码,这种密码仅在当前会话中有效,因此更能抵御破解和窃听。许多基于令牌的认证方案会在硬件或软件令牌中集成加密算法(如数据加密标准 [DES]),结合服务器端挑战和客户端个人识别码(PIN)生成响应,作为该会话的“密码”返回给认证服务器。
针对双因素、基于令牌的认证,有记录的黑客攻击手段很少。若攻击者能获得令牌的物理访问权限,可能读取令牌内存内容以获取或更改用户 PIN;也可能通过社会工程学攻击从用户处获取 PIN 号码。虽然理论上可以暴力破解用于生成一次性会话密码的加密算法(和密钥),但在一次性密码的有效期内,这种做法实际上不可行。
2.1 相关监听工具
| 工具/漏洞利用(作者) | URL | 描述 |
|---|---|---|
| Cain & Abel(Oxid) | http://www.oxid.it/cain.html | 微软平台账户破解工 |
订阅专栏 解锁全文
扫一扫
1321
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
