網絡驗證機制存在哪些缺陷

網絡驗證機制存在以下缺陷：

• 弱口令：以前有相當一部分的web程序還沒有對賬號的密碼的強度做安全控制，有相當一部分的用戶喜歡設置類似于123456或者password這種口令，或者以自己的名字，自己的生日作為自己的密碼。這就導致攻擊者可以輕易通過猜測或者對被攻擊者的社交網站進行分析得到的信息來生成一個用戶的密碼字典，從而攻破賬戶。而如今絕大部分的網站都對密碼的強度做了要求，要求密碼長度在8位以上，并需要同時含有大小寫字母以及數字。這使純暴力破解門戶網站的難度大大增加，同時網站也采用了鎖定機制，即短時間內訪問速度過快或者訪問次數達到某一限制就會封鎖賬號。

• 允許爆破攻擊：這類設計在一些很偏僻的后臺系統上還有經常會出現，若是面向客戶的門戶系統，幾乎不可能出現。若是應用程序在鎖定賬戶后，任然會對登錄嘗試做出響應，這意味著即使目標賬戶被鎖定，攻擊者依舊可以完成對密碼的猜測。若是登錄失敗計數器保留在本地我們可以通過修改cookie的值或者獲得一個全新的會話，來繼續實行密碼猜測攻擊。

• 詳細的失敗消息：有時候服務端返回的失敗的消息中會告訴你信息出錯的位置，這種情況下，我們可以發動自動化攻擊來遍歷大量的常見的用戶名，我們可以將枚舉出來的用戶名作為隨后各種攻擊的基礎。這種漏洞可能以更加隱蔽的方式出現，兩個返回包渲染的結果可能看起來完全相同，但是它們兩個包之間可能存在一些細微的差異。即使應用程序對包含有效與無效用戶名登錄嘗試的響應完全相同，我么依然可以通過根據應用程序響應的時間來枚舉出用戶名。

• 易受攻擊的賬號密碼的傳輸：現如今的絕大部分的鑒權口令采用的都是HTTPS加密后的post傳輸手段，可任然有一定數量的網站采用的是明文傳輸的方式。攻擊者可以輕易的通過監聽一些節點（如本地的wifi，用戶的ISP內）即可得到用戶的賬號信息。

• 密碼修改功能：一般提供這種功能會出現允許攻擊者猜測現有密碼字段，因為修改密碼很多情況下是不允許新密碼與舊密碼重復，這就會導致攻擊者可以嘗試猜測現有密碼的字段，嘗試對密碼進行修改，有的服務也會產生在修改過程出現問題時提供非常詳細的報錯詳細，這樣也會導致攻擊者猜測用戶的用戶名信息。

• 用戶偽裝功能：一些應用程序允許管理用戶偽裝成其他用戶，以該用戶的權限來訪問數據和執行操作。這個功能對于我這樣一個小白而言其實并不常見，稍微能夠理解一點的就是管理用戶可以從高權限組進入到低權限組，就如linux中的root可以進入到其他用戶，而其他用戶若是要進入到root則需要輸入相應的密碼。

可以借助以下強身份驗證來解決以上缺陷：

• 安全問題：添加一些安全問題作為額外的身份驗證，是比較簡單的一種方法。過去，安全問題主要用于密碼重置，它們設置起來很簡單，但也很容易被黑客入侵或被盜。

• 動態一次性密碼 ( OTP )： 通過動態 OTP 口令驗證比安全問題更安全，因為它使用二級身份驗證類別，是在密碼之外增加一個他們常用的設備來驗證。比較常見的包括：短信/郵箱驗證碼，或者是兼容第三方身份驗證器如 Google Authenticator、Microsoft Authenticator 等，操作簡單，方便快捷。

• 專門的身份驗證應用程序：用戶通過與智能手機上的應用程序交互來驗證自己的身份，例如 Authing 的小程序認證，通過將 Authing 移動令牌驗證器集成至微信小程序，不僅快捷友好，同時增強安全性。

• 物理身份驗證密鑰：身份驗證過程由非對稱加密算法保護，私鑰永遠不會離開設備，例如銀行的 U 盾。

• 生物識別技術：目前在安全領域被廣泛應用，比較難被破解，但生物識別技術也帶來了挑戰和隱私問題。與密碼不同，您無法更改您的指紋、虹膜或視網膜。此外，實施此技術，有可能需要增加對專門生物識別設備的投入。

• 基于挑戰-響應的安全協議：一個數據庫向另一個數據庫發送一個挑戰，接收者必須用適當的答案進行響應。所有通信在傳輸過程中都經過加密，因此黑客無法入侵或操縱。聽起來很復雜，實際上發送者和接收者在幾秒內即可完成通信。

回答所涉及的環境：聯想天逸510S、Windows 10。