2018年大数据环境下的网络身份安全挑战及解决方案.pdf

《2018年大数据环境下的网络身份安全挑战及解决方案.pdf》由会员分享，可在线阅读，更多相关《2018年大数据环境下的网络身份安全挑战及解决方案.pdf（31页珍藏版）》请在三个皮匠报告上搜索。

1、大数据环境下的网络身份安全挑战及解决方案提纲网络身份&网络身份安全网络身份安全遇到的挑战网络身份安全技术及解决方案基于可信用户代理的多方闭环网络身份认证管理机制自动注册、自动登录、自动修改密码；防撞库、防钓鱼、解决“密码疲劳”基于寄生社区分割的钓鱼网站及目标识别 防钓鱼欺诈、防身份被盗区分、认定（Identify）网络空间中个体（Entity）的唯一性和不可否认性标识 个体：个人用户、组织机构、设备、网络资源网络身份信息：跟身份有关的信息 用户名、口令、身份证号、邮箱、手机号、卡号、微信号、QQ等 域名、名称、组织机构代码等 序列号、URI等网络身份 准确认证和管理网络身份 检测并防止 身份造

2、假、假冒 被盗（防拖库、防钓鱼）泄露（防拖库、防撞库）其他未授权行为网络身份安全大数据环境公开数据被利用私有数据被泄露内部威胁（自身原因）内鬼、系统漏洞、管理不善（制度缺陷、犯错失职）、用户习惯外部威胁（黑客攻击）钓鱼、假冒、拖库、撞库网络身份安全遇到的挑战大数据环境中的网络身份信息(PII)大数据：信息社会的“数字垃圾”包含身份信息、易遭非法利用（诈骗、窃取、撞库、破解）公开数据：个人主页、机构官网、百科、博客、微博：内容（姓名等）丰富真实！讣告、新闻、论文：真实的姓名，邮箱、单位信息各网站私有数据：注册的id，口令，姓名，生日，手机号，QQ号，邮箱等 社交网络关系（好友、粉丝、在线习惯等）

3、大数据环境中的网络身份安全威胁公开数据蕴含着隐私，被用于破解、撞库 关联关系：； 社交网络：奶茶妹妹 刘强东私有数据被窃取、泄露，形成黑色产业链：拖库：窃取整个身份数据库（账号、密码、其他身份信息）洗库：解密、整理，分类，出售里边的信息 撞库：用其中发现的密码去猜测登录别的系统内部威胁 数据泄露管理员使用弱密码、多人分享密码、失误 被撞库、被拖库、被接管、留后门漏洞不及时修补、留后门 被拖库加密措施不强（甚至明文存储密码）拖库后被破解，94%MD5;74%哈希加盐，0.1%Bcrypt内鬼（80%）数据泄露的结果社工库：密码疲劳问题导致的用户习惯 不安全 密码/口令模式有限：被破解 弱密码（常

4、用密码库）：被破解 长期不换：被破解 账号关联、密码/口令重用：被撞库 经验不足，不够警惕，被恐吓、诱惑而轻信：被钓鱼常用模式 利用人性弱点精准分析破解个人密码利用个人信息，猜解各种组合暴力定向破解密码（汪定）7种模式PassWord-PassPhraseNIST的Paul Grassi提出仅仅“长”没有用，仍是有限模式感谢泰格实验室姜栋提供：账号关联、密码/口令重用-撞库越来越容易简单撞库针对单个账号，多次猜测密码“分布式集体轮番撞库”（Credential Stuffing）公开获取或非法购买被泄露的大量的账号/密码对 针对同一个网站的多个账号 轮番从多个代理或僵尸网络发起登录请求 辅助自

5、动工具通过图灵测试 1-2%的成功率网络身份欺诈/网络钓鱼攻击网络身份欺诈 未经他人授权，假冒其网络身份，特别是用于非法目的网络钓鱼攻击 通过模仿真实网页，假冒其他个人或组织的网络身份，骗取用户的网络身份等私隐信息如：用户名、密码、卡号等 二维码钓鱼天下网络，无坚不破！天下密码，唯“强”不破！人是最薄弱的环节！何为“强”密码？随机、无规律（无模式）足够长（仅仅长还不行，要记住就得有规律，有规律就能破！）未泄露过、经常换 记不住，输入也不方便，可用性很差！“能记住的密码都是弱密码”以用户为中心的身份管理以网站为中心-企业为中心（SSO）-用户为中心！基于可信用户代理的多方闭环网络身份认证机制 兼

6、容传统密码机制，成本低、易于部署 密码绕过浏览器，直发服务器，杜绝被劫持、被钓鱼 注册随机账号，做到de-link，防止被撞库 生成并常换随机强密码，防止被破解 密码不重用，防止被撞库 配套密码管理器，密码再也不用记（“烧脑”）、避免“密码疲劳”传统B/S架构双向网络身份认证机制多方闭环网络身份认证机制（可信服务器代理版）多方闭环网络身份认证机制（插件/扩展版）自动注册首次扫码会自动注册一个随机账户并生成强密码。以后再扫码就自动登录。希望可以取消验证码，降低上网门槛。自动登录功能自动更换密码1.网页上启动更换密码服