违法和不良信息举报 联系客服
免费注册 登录

人们设计了(),以改善口令认证自身安全性不足的问题。

题目
单选题
人们设计了(),以改善口令认证自身安全性不足的问题。
A

统一身份管理

B

指纹认证

C

数字证书认证

D

动态口令认证机制

如果没有搜索结果或未解决您的问题,请直接 联系老师 获取答案。
相似问题和答案

第1题:

常见的身份认证应用中基于“用户所知”进行认证的方法有()等。

A、静态口令认证

B、短信口令认证

C、动态口令认证

D、U盾


参考答案:ABC

第2题:

阅读下列说明,回答问题l至问题3,将解答填入答题纸的对应栏内。

【说明】

某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图4-1所示。

企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。

【问题1】(8分)

为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。

【问题2】(6分)

为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USB Key,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。

【问题3】(6分)

系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。


正确答案:
参考答案:【问题1】:通过安全策略设置密码的最小长度,设置口令锁定,使用通信加密技术,对存储在数据库中的数据进行加密、设置访问控制等对于用户名称的测试关键在于测试用户名称的惟一性:1.同时存在的用户名称在不考虑大小写的状态下,不能同名2.对于关键领域的软件产品和安全性要求较高的软件,应当同时保证使用过的的用户在用户删除或停用后,保留该用户记录,并且新用户不得与该用户同名测试用户口令的强度和口令存储的位置和加密强度:1.最大口令时效2.最小口令时效3.口令历史4.最小口令长度5.口令复杂度6.加密选项7.口令锁定8.账户复位【问题2】:功能测试:是否具备基础加/解密服务功能能否为应用提供相对稳定的统一安全服务接口能否提供对多密码算法的支持随着业务量的逐渐增加,是否可以灵活地增加密码服务模块,实现性能平滑扩展,且不影响上层的应用系统性能测试:RSA算法密钥长度能否达到1024~2048位,ECC算法密钥长度能否达到192位如果有必要进行系统速度测试,对应用层的客户端密码设备测试项:公钥密码算法签名速度、公钥密码算法验证速度、对称密钥密码算法加/解密速度,验证是否满足需求处理性能如公钥密码算法签名等是否具有扩展能力【问题3】:对证书业务服务系统的功能测试:1.证书认证系统是否采用国际密码主管部门审批的签名算法完成签名操作,是否提供证书的签发和管理、证书撤销列表的签发和管理、证书/证书撤销列表的发布以及证书审核注册中心的设立、审核及管理等功能2.按使用对象分类,系统是否能提供人员证书、设备证书、机构证书三种类型的证书3.是否可以提供加密证书和签名证书4.数字证书格式是否采用X.509V45.系统是否提供证书申请、身份审核、证书下载等服务功能6.证书申请、身份审核、证书下载等服务是否都可采用在线或离线两种方式7.系统是否提供证书认证策略及操作策略管理、自身证书安全管理等证书管理服务证书业务服务系统性能测试:1.检查证书业务服务系统设计的处理性能是否具备可伸缩配置及扩展的能力2.关键部分是否采用双机热备份和磁盘镜像3.是否满足系统的不间断运行、在线故障修复和在线系统升级4.是否满足需求说明中预测的最大数量用户正常访问的需求,并且,是否有3~4倍的冗余,如有必要,需要测试系统的并发压力承受能力。试题分析:【问题1】口令攻击目前常见的方式有:社会工程学;暴力破解;弱口令扫描;密码监听等,对于网校网站针对社会工程学方面仅能友善提醒相关人员保护密码;对于密码监听,可以采用通信加密的方式来从技术方面进行一定的保护;对于弱口令扫描,可以通过配置安全策略让用户设置一个安全密码,避免设置弱密码,增加口令破解的难度,同时设置密码锁定策略,可以有效的方式密码扫描和暴力破解;对于存储在数据库服务器中的用户密码则可以通过加密方式和数据库的访问控制来保证密码存储的安全对于用户名称的测试关键在于测试用户名称的唯一性。唯一性的体现基本基于以下两个方面:1)同时存在的用户在不考虑大小写的状态下,不能够同名2)对于关键领域的软件产品和安全性要求较高的软件,应当同时保证使用过的用户在用户删除或停用后,保留该用户记录,并且新用户不得与该用户同名用户口令应当满足当前流行的控制模式,注意测试用户口令的强度和口令存储的位置和加密强度:最大口令时效最小口令时效口令历史最小口令长度口令复杂度加密选项口令锁定账户复位【问题2】本题引入USB-Key认证方式,该认证采用的是PKI认证方式,测试是对USB-Key相关的公钥客户进行的功能和性能测试,对于公钥功能和性能进行测试主要包括如下内容:功能测试:是否具备基础加/解密服务功能能否为应用提供相对稳定的统一安全服务接口能否提供对多密码算法的支持随着业务量的逐渐增加,是否可以灵活地增加密码服务模块,实现性能平滑扩展,且不影响上层的应用系统性能测试:RSA算法密钥长度能否达到1024~2048位,ECC算法密钥长度能否达到192位如果有必要进行系统速度测试,对应用层的客户端密码设备测试项:公钥密码算法签名速度、公钥密码算法验证速度、对称密钥密码算法加/解密速度,验证是否满足需求处理性能如公钥密码算法签名等是否具有扩展能力【问题3】对证书业务服务系统的功能测试:证书认证系统是否采用国际密码主管部门审批的签名算法完成签名操作,是否提供证书的签发和管理、证书撤销列表的签发和管理、证书/证书撤销列表的发布以及证书审核注册中心的设立、审核及管理等功能按使用对象分类,系统是否能提供人员证书是否可以提供加密证书和签名证书数字证书格式是否采用X.509V4系统是否提供证书申请、身份审核、证书下载等服务功能证书申请、身份审核、证书下载等服务是否都可采用在线或离线两种方式系统是否提供证书认证策略及操作策略管理、自身证书安全管理等证书管理服务证书业务服务系统性能测试:检查证书业务服务系统设计的处理性能是否具备可伸缩配置及扩展的能力关键部分是否采用双机热备份和磁盘镜像是否满足系统的不间断运行、在线故障修复和在线系统升级是否满足需求说明中预测的最大数量用户正常访问的需求,并且,是否有3~4倍的冗余,如有必要,需要测试系统的并发压力承受能力。

第3题:

关于口令认证机制,下列说法正确的是____。

A.实现代价最低,安全性最高

B.实现代价最低,安全性最低

C.实现代价最高,安全性最高

D.实现代价最高,安全性最低


正确答案:B

第4题:

IO类和程序自身防护类的问题属于()的常见问题。

  • A、业务流程安全性
  • B、认证机制脆弱性
  • C、客户端脆弱性
  • D、通讯数据脆弱性

正确答案:C

第5题:

网上支付的多因素身份鉴别技术主要有()

  • A、静态口令+动态口令认证
  • B、静态口令+数字证书认证
  • C、静态口令+手机验证码认证
  • D、静态口令+生物特征认证
  • E、静态口令+联合认证

正确答案:A,B,C

第6题:

如果只能使用口令远程认证,以下哪种方案安全性最好?

A、高质量静态口令,散列保护传输

B、高质量静态口令,固定密钥加密保护传输

C、动态随机口令,明文传输

D、高质量静态口令,增加随机值,明文传输


答案:C

第7题:

某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。



1、为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。


答案:
解析:
(1)可采取的安全防护措施包括:
①口令强度:可设置最小口令长度,同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度。
②口令传输存储:可采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输。
③口令管理:可设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
(2)对口令认证机制测试应包含的基本测试点:
①对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。
②对用户口令测试应主要测试用户口令是否满足当前流行的控制模式。主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
【解析】
软件系统的安全性是信息安全的一个重要组成部分,针对程序和数据的安全性测试与评估是软件安全性测试的重要内容,本题考查软件安全性测试的相关知识。
第一小题考查考生对基于口令的用户认证机制相关安全测试内容的了解。
基于口令的认证是最简单的用户认证方式,口令具有共享秘密的属性,该方式也容易受到相应的口令攻击。为防范口令攻击,通常可以从口令的强度、传输存储及管理等方面采取相应的安全防护措施,具体措施可包括设置最小口令长度,同时可采取要求用户在口令中使用非数字字母的字符等增加口令复杂度的手段提高口令强度;采用加密或Hashing手段,系统服务端存储的用户口令可加密或Hashing后存储,网络传输的用户口令可加密或Hashing后进行传输;设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
对用户名称测试的主要测试点在于测试用户名称的唯一性,即测试同时存在的用户名称在不考虑大小写的情况下,不能够同名。对用户口令测试应主要测试用户口令是否满足当前流行的控制模式,主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。

第8题:

银行常用的认证手段有文件数字证书、动态口令卡、动态手机口令、动态口令牌和()。

A.指纹认证

B.DNA认证

C.移动数字证书

D.手写签名认证


参考答案:C

第9题:

该安全认证工具的优点包括()。

  • A、无需安装驱动,实现了物理分离
  • B、使用简单,用户只要根据网银提示输入密码口令即可
  • C、动态口令每60秒随机更新一次,不法分子难以仿冒
  • D、一个口令在认证过程中只使用一次,下次认证时则更换另一口令

正确答案:A,B,C,D

第10题:

人们设计了(),以改善口令认证自身安全性不足的问题。

  • A、统一身份管理
  • B、指纹认证
  • C、数字证书认证
  • D、动态口令认证机制

正确答案:D

更多相关问题
相关内容