图形密码的用户认证,网络通信和安全的大局在哪里?

Posted

技术标签:

【中文标题】图形密码的用户认证,网络通信和安全的大局在哪里?【英文标题】:User Authentication with graphical password, where is lies in the big picture of network communication and security? 【发布时间】:2015-07-20 10:30:30 【问题描述】:

我开发了一种图形密码技术来克服文本密码所面临的弱点,例如肩部冲浪攻击、字典攻击等。我已经在使用 mysqlhtmlphp 中实现了该技术。 我想知道这项技术在网络安全和网络通信的大局中的位置。

如果我假设预共享密钥用于加密,我建议的图形密码用于身份验证,我可以将其称为应用层协议吗?如果是,为什么,如果不是,为什么不呢?

以及该方案如何与身份验证协议(双向和单向身份验证)和 kerberos 相关联? 提前谢谢你

【问题讨论】:

您在其他方法中发现了什么弱点?你会多探索一下你的图形密码方法吗? @KhurramAli 基于文本的密码如果复杂,则难以记住,如果容易记住,它们是可猜测/可预测的原因之一...... 【参考方案1】:

这种日志记录技术需要放在操作系统登录屏幕上,用户可以通过实现自定义凭据提供程序登录到他/她的帐户。了解如何阅读Documentation for creating a Custom Credential Provider in Windows中列出的非常好的资源

在此登录过程中,系统会创建一个 Kerberos TGS 票证并将其存储在 Kerberos 缓存中。之后,一旦用户登录到她/他的帐户并使用 SSO 打开网页,浏览器就会使用底层机制,该机制(使用缓存中的 TGS 票证)为浏览器获取 Kerberos 服务票证,浏览器使用该票证登录到网站。

【讨论】:

可以用在自动柜员机上提取现金,也可以作为电子邮件的登录机制……我得出的结论是,它可以称为应用层认证协议。你同意吗?

以上是关于图形密码的用户认证,网络通信和安全的大局在哪里?的主要内容,如果未能解决你的问题,请参考以下文章

网络交换机远程访问进行统一认证授权审核记录

树莓派VNC连接失败,认证界面无法输入用户名

HTTP - 摘要认证

Lighttpd配置用户认证

如何在弹簧安全认证登录中获取用户输入的用户名和密码值

数据库安全管理