Legen Sie komplexe Passwörter fest und verwalten und verwenden Sie Passwörter sicher. Das ultimative Ziel besteht darin, Angreifer daran zu hindern, sich illegal Zugangs- und Betriebsberechtigungen zu verschaffen.
Dynamisches Passwort ist eine unvorhersehbare Zufallszahlenkombination, die auf der Grundlage eines speziellen Algorithmus generiert wird. Jedes Passwort kann nur sein einmal verwendet.
Passwortklassifizierung (Empfohlenes Lernen: Web-Frontend-Video-Tutorial)
Um das Problem der statischen Passwortsicherheit zu lösen In den 1990er Jahren ist die dynamische Passworttechnologie entstanden. Bisher sind die Anwendungsergebnisse und die allgemeine Situation wie folgt:
Die dynamische Passworttechnologie wird hauptsächlich in zwei Typen unterteilt: synchrone Passworttechnologie und asynchrone Passworttechnologie (Challenge-Response). Methode)
Die Synchronisationspassworttechnologie ist unterteilt in: Zeitsynchronisationspasswort, Ereignissynchronisationspasswort. Die wichtigsten technischen Vergleiche sind wie folgt:
Zeitsynchronisation
Basierend auf Token und Serverzeit-Synchronisierung werden Berechnungen durchgeführt, um konsistente dynamische Passwörter zu generieren. Tokens, die auf Zeitsynchronisierung basieren, haben im Allgemeinen eine Aktualisierungsrate von 60 Sekunden, und alle 60 Sekunden wird ein neues Passwort generiert Um die Standardzeit zu nutzen, muss der Server sehr leistungsfähig sein und die korrekte Uhr einhalten. Er stellt strenge Anforderungen an die Quarzoszillatorfrequenz seines Tokens, wodurch die Wahrscheinlichkeit verringert wird, dass das System die Synchronisierung verliert.
Andererseits erkennt der Server jedes Mal, wenn ein auf Zeitsynchronisation basierendes Token authentifiziert wird, den Uhrversatz des Tokens und passt seine Zeitaufzeichnung kontinuierlich entsprechend an, um so sicherzustellen, dass das Token authentifiziert wird. Die Synchronisierung des Tokens und des Servers gewährleistet den täglichen Gebrauch. Aufgrund der unterschiedlichen Arbeitsumgebungen des Tokens kann es jedoch unter Bedingungen wie Magnetfeld, hoher Temperatur, hohem Druck, Stößen usw. leicht zu unsicheren Abweichungen und Schäden am Takt kommen. Eintauchen in Wasser usw.
Daher ist es sehr wichtig, zeitsynchronisierte Geräte besser zu schützen. Bei Token, die die Zeitsynchronisierung verlieren, kann die Remote-Synchronisierung derzeit durch Erhöhen des Offsets (10 Minuten davor und danach) erfolgen Zeitsynchronisierungstoken, die den Standardwert (insgesamt 20 Minuten) überschreiten, können jedoch nicht weiter verwendet oder remote synchronisiert werden und müssen zur separaten Verarbeitung an den Server zurückgesendet werden. Ebenso sollte bei Servern, die auf Zeitsynchronisation basieren, die Systemuhr gut geschützt sein und nicht nach Belieben geändert werden, um Synchronisierungsprobleme zu vermeiden, die sich auf alle auf diesem Server authentifizierten Token auswirken.
Ereignissynchronisierung
Token basiert auf der Ereignissynchronisierung. Das Prinzip besteht darin, eine bestimmte Ereignissequenz und denselben Startwert als Eingabe zu verwenden, um das Ein konsistentes Passwort zu berechnen Der Betriebsmechanismus stellt fest, dass sein gesamter Arbeitsablauf unabhängig von der Uhr ist und nicht von der Uhr beeinflusst wird. Der Token enthält keinen Zeitimpuls-Quarzoszillator, aber aufgrund der Konsistenz seines Algorithmus ist sein Passwort im Voraus bekannt Wenn der Token verloren geht und der PIN-Code nicht zum Schutz des Tokens verwendet wird, besteht daher die Gefahr einer illegalen Anmeldung. Daher ist es unbedingt erforderlich, den PIN-Code zu schützen bei Verwendung von ereignissynchronisierten Token.
In ähnlicher Weise besteht auch bei Token, die auf der Ereignissynchronisierung basieren, das Risiko, dass die Synchronisierung verloren geht, z. B. wenn Benutzer Passwörter mehrmals ohne Zweck generieren. Damit Token die Synchronisierung verlieren, verwenden Ereignissynchronisierungsserver eine Methode mit erhöhten Offsets, um den Server neu zu synchronisieren berechnet das Passwort automatisch für eine bestimmte Anzahl von Malen rückwärts, um das Token und den Server zu synchronisieren. Wenn die Synchronisationssituation sehr ernst ist und der Bereich den normalen Bereich überschreitet, wird das Passwort durch zweimaliges Eingeben des Tokens berechnet Wenn Sie kein Passwort verwenden, führt der Server in größerem Umfang eine Token-Synchronisierung durch.
Im Allgemeinen dauert die Token-Synchronisierung nicht mehr als dreimal. Im Extremfall kann jedoch ein Verlust der Synchronisation nicht ausgeschlossen werden, z. B. Stromausfall, Bedienungsfehler beim Batteriewechsel usw. Zu diesem Zeitpunkt kann das Token immer noch aus der Ferne synchronisiert werden, indem manuell eine Reihe von vom Administrator generierten Sequenzwerten eingegeben wird, ohne dass zur erneuten Synchronisierung zum Server zurückgekehrt werden muss.
Das obige ist der detaillierte Inhalt vonWas ist der ultimative Zweck, komplexe Passwörter festzulegen, sie sicher zu verwalten und zu verwenden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
