某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图1所示。企业信息中心目前拟对该系统用户认证机制进行详细安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥认证机制。
1、为防止针对网校学员口令攻击,请从口令强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本测试点。
(1)可采取安全防护措施包括:
①口令强度:可设置最小口令长度,同时可采取要求用户在口令中使用非数字字母字符等增加口令复杂度手段提高口令强度。
②口令传输存储:可采用加密或Hashing手段,系统服务端存储用户口令可加密或Hashing后存储,网络传输用户口令可加密或Hashing后进行传输。
③口令管理:可设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
(2)对口令认证机制测试应包含基本测试点:
①对用户名称测试主要测试点在于测试用户名称唯一性,即测试同时存在用户名称在不考虑大小写情况下,不能够同名。
②对用户口令测试应主要测试用户口令是否满足当前流行控制模式。主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
【解析】
软件系统安全性是信息安全一个重要组成部分,针对程序和数据安全性测试与评估是软件安全性测试重要内容,本题考查软件安全性测试相关知识。
第一小题考查考生对基于口令用户认证机制相关安全测试内容了解。
基于口令认证是最简单用户认证方式,口令具有共享秘密属性,该方式也容易受到相应口令攻击。为防范口令攻击,通常可以从口令强度、传输存储及管理等方面采取相应安全防护措施,具体措施可包括设置最小口令长度,同时可采取要求用户在口令中使用非数字字母字符等增加口令复杂度手段提高口令强度;采用加密或Hashing手段,系统服务端存储用户口令可加密或Hashing后存储,网络传输用户口令可加密或Hashing后进行传输;设置最大口令时效强制用户定期更新口令,引入口令锁定机制以应对口令猜测攻击,引入口令历史强制用户设置新口令等。
对用户名称测试主要测试点在于测试用户名称唯一性,即测试同时存在用户名称在不考虑大小写情况下,不能够同名。对用户口令测试应主要测试用户口令是否满足当前流行控制模式,主要测试点应包括最大/最小口令时效、口令历史、最小口令长度、口令复杂度、加密选项及口令锁定等。
