Maison >Problème commun >Quel est le but ultime de la définition de mots de passe complexes, de leur gestion et de leur utilisation sécurisée ?

Quel est le but ultime de la définition de mots de passe complexes, de leur gestion et de leur utilisation sécurisée ?

(*-*)浩
(*-*)浩original
2019-11-15 14:55:4011060parcourir

Définissez des mots de passe complexes, puis gérez et utilisez les mots de passe en toute sécurité. L'objectif ultime est d'empêcher les attaquants d'obtenir illégalement des autorisations d'accès et d'utilisation.

Quel est le but ultime de la définition de mots de passe complexes, de leur gestion et de leur utilisation sécurisée ?

Le mot de passe dynamique est une combinaison de nombres aléatoires imprévisibles générée sur la base d'un algorithme spécialisé. Chaque mot de passe ne peut être. utilisé une fois.

Classification des mots de passe (Apprentissage recommandé : Tutoriel vidéo Web front-end)

Afin de résoudre le problème de la sécurité des mots de passe statiques , dans les années 1990, la technologie des mots de passe dynamiques est apparue. Jusqu'à présent, les résultats de l'application et la situation générale sont les suivants :

La technologie des mots de passe dynamiques est principalement divisée en deux types : la technologie des mots de passe synchrones et la technologie des mots de passe asynchrones (défi-réponse). méthode)

La technologie des mots de passe de synchronisation est divisée en : mot de passe de synchronisation de l'heure, mot de passe de synchronisation des événements. Les principales comparaisons techniques sont les suivantes :

Synchronisation de l'heure

<.>Basée sur le jeton et l'heure du serveur, la synchronisation utilise des calculs pour générer des mots de passe dynamiques cohérents. Les jetons basés sur la synchronisation temporelle ont généralement un taux de mise à jour de 60 secondes, et un nouveau mot de passe est généré toutes les 60 secondes. Cependant, puisque sa synchronisation est basée sur l'international. heure standard, son serveur doit être très performant. Il maintient avec précision l'horloge correcte et a des exigences strictes sur la fréquence de l'oscillateur à cristal de son jeton, réduisant ainsi le risque de perte de synchronisation du système.

D'autre part, chaque fois qu'un jeton basé sur la synchronisation temporelle est authentifié, le serveur détectera le décalage d'horloge du jeton et affinera en permanence son enregistrement de temps en conséquence, garantissant ainsi que le jeton est authentifié. La synchronisation du jeton et du serveur garantit une utilisation quotidienne. Cependant, en raison des différents environnements de travail du jeton, des écarts incertains et des dommages à l'impulsion d'horloge peuvent facilement se produire dans des conditions telles qu'un champ magnétique, une température élevée, une pression élevée, un choc, etc. immersion dans l'eau, etc.

Par conséquent, il est très nécessaire de mieux protéger les appareils synchronisés dans le temps. Pour les jetons qui perdent la synchronisation temporelle, la synchronisation à distance peut actuellement être effectuée en augmentant le décalage (10 minutes avant et après). être utilisés et réduire l'impact sur l'application. Cependant, les jetons de synchronisation temporelle qui dépassent la valeur par défaut (20 minutes au total) ne pourront pas continuer à être utilisés ou synchronisés à distance et doivent être renvoyés au serveur pour un traitement séparé. De même, pour les serveurs basés sur la synchronisation horaire, l'horloge système doit être bien protégée et ne doit pas être modifiée à volonté pour éviter des problèmes de synchronisation, qui affecteront tous les tokens authentifiés sur la base de ce serveur.

Synchronisation d'événements

Jeton basé sur la synchronisation d'événements, le principe est d'utiliser une séquence d'événements spécifique et la même valeur de départ en entrée pour calculer le Un mot de passe cohérent, son Le mécanisme de fonctionnement détermine que l'ensemble de son flux de travail est indépendant de l'horloge et n'est pas affecté par l'horloge. Il n'y a pas d'oscillateur à cristal d'impulsion temporelle dans le jeton, mais en raison de la cohérence de son algorithme, son mot de passe est connu à l'avance via le jeton. , vous pouvez connaître plusieurs mots de passe à l'avenir. Par conséquent, lorsque le jeton est perdu et que le code PIN n'est pas utilisé pour protéger le jeton, il existe un risque de connexion illégale. Il est donc très nécessaire de protéger le code PIN. lors de l'utilisation de jetons synchronisés avec des événements.

De même, les jetons basés sur la synchronisation d'événements présentent également le risque de perdre la synchronisation, par exemple si les utilisateurs génèrent des mots de passe plusieurs fois sans but. Pour que les jetons perdent la synchronisation, les serveurs de synchronisation d'événements utilisent une méthode de resynchronisation accrue, le serveur. calculera automatiquement le mot de passe à rebours un certain nombre de fois pour synchroniser le jeton et le serveur. Lorsque la situation de désynchronisation est très grave et que la plage dépasse la plage normale, le mot de passe calculé en entrant le jeton deux fois de suite sera. utilisé, le serveur effectuera la synchronisation des jetons à plus grande échelle.

Généralement, la synchronisation des jetons ne prendra pas plus de 3 fois. Cependant, dans des cas extrêmes, la possibilité d'une perte de synchronisation ne peut être exclue, comme par exemple une coupure de courant, des erreurs de fonctionnement lors du remplacement de la batterie, etc. À ce stade, le jeton peut toujours être synchronisé à distance en saisissant manuellement un ensemble de valeurs de séquence générées par l'administrateur sans avoir à revenir au serveur pour la resynchronisation.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn