超级会员免费看
密码安全:现状、挑战与未来趋势
1. 网络钓鱼攻防的困境
在网络世界中,网络钓鱼者与用户及安全防护者之间的斗争就像一场军备竞赛。钓鱼者会在URL中插入看似是图片实则指向可执行文件的链接。起初,建议用户将鼠标悬停在链接上查看其真实指向,但攻击者会在URL中插入不可打印字符阻止浏览器显示完整内容,或者使用超长的URL。这种对抗措施变得越来越复杂和违背直觉,导致用户更加困惑,而这正是钓鱼者所期望的。例如,在网络钓鱼中:
| 钓鱼手段 | 应对措施 | 攻击者反制手段 |
| ---- | ---- | ---- |
| 插入伪装链接 | 鼠标悬停查看 | 插入不可打印字符、使用超长URL |
2. 微软Passport的利弊
微软Passport从表面上看是个不错的主意,它利用微软的登录设施对任何商家网站的用户进行身份验证。拥有微软服务(如Hotmail)账户的用户可以使用基于Kerberos改编的专有协议,通过cookie来回发送票据,自动登录参与该系统的网站。
然而,它存在诸多弊端。一方面,将所有鸡蛋放在一个篮子里会引发他人攻击的动机,存在许多严重的安全漏洞,比如出现过经典的竞态条件或检查时间与使用时间不一致(TOCTTOU)漏洞,任何人都能冒充他人登录依赖Passport进行身份验证的系统。同时,还存在cookie窃取攻击、密码重置攻击和注销失败等问题。另一方面,其商业模式也存在问题,参与的网站必须使用微软的网络服务器,而且人们担心微软获取大量用户交易数据后,会将其在浏览器软件的主导地位扩展到消费者画像数据市场,这违反了欧洲法律。这引发了行业抗议,促使微软的竞争对手成立了Liberty Alliance联盟,开发了用于相同目的
订阅专栏 解锁全文
扫一扫
31
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
