針對身份鑒別的主要威脅和攻擊手段

身份鑒別造成威脅包括四個方面：

• 口令圈套。口令圈套是網絡安全的一種詭計，與冒名頂替有關。常用的口令圈套通過一個編譯代碼模塊實現，它運行起來和登錄屏幕一模一樣，被插入到正常登錄過程之前，最終用戶看到的只是先后兩個登錄屏幕，第一次登錄失敗了，所以用戶被要求再輸入用戶名和口令。

• 口令破解。口令破解就像是猜測自行車密碼鎖的數字組合一樣，在該領域中已形成許多能提高成功率的技巧。

• 算法考慮不周。口令輸入過程必須在滿足一定條件下才能正常地工作，這個過程通過某些算法實現。在一些攻擊入侵案例中，入侵者采用超長的字符串破壞了口令算法,成功地進入了系統。

• 編輯口令。編輯口令需要依靠操作系統漏洞，如果公司內部的人建立了一個虛設的賬戶或修改了一個隱含賬戶的口令，這樣，任何知道那個賬戶的用戶名和口令的人便可以訪問該機器了。

針對身份鑒別的典型攻擊手段：

• 信道截獲：由于認證信息要通過網絡傳遞，并且很多認證系統的口令是未經加密的明文，攻擊者通過竊聽網絡數據，就很容易分辨出某種特定系統的認證數據，并提取出用戶名和口令，或者其它有關的鑒別信息。

• 口令猜測：包括重放、修改或偽造、反送攻擊、交錯攻擊和選擇性攻擊等。

  重放：非授權用戶截獲信息，然后再傳送給接收者。

  修改或偽造：非授權用戶截獲信息，替換或修改信息后再傳送給接收者，或者非授權用戶冒充合法用戶發送信息。

  其它：如反送攻擊、交錯攻擊和選擇性攻擊等。

回答所涉及的環境：聯想天逸510S、Windows 10。