-
>
決戰行測5000題(言語理解與表達)
-
>
軟件性能測試.分析與調優實踐之路
-
>
第一行代碼Android
-
>
深度學習
-
>
Unreal Engine 4藍圖完全學習教程
-
>
深入理解計算機系統-原書第3版
-
>
Word/Excel PPT 2013辦公應用從入門到精通-(附贈1DVD.含語音視頻教學+辦公模板+PDF電子書)
多因素身份驗證攻防手冊 版權信息
- ISBN:9787302654872
- 條形碼:9787302654872 ; 978-7-302-65487-2
- 裝幀:平裝-膠訂
- 冊數:暫無
- 重量:暫無
- 所屬分類:>
多因素身份驗證攻防手冊 本書特色
探究MFA技術的優缺點
有些“安全專家”認為,MFA(Multifactor Authentication,多因素身份驗證)能解決大多數攻擊和入侵問題。但實際上,MFA系統是可破解的,并非固若金湯。必須嚴謹地規劃和設計MFA系統,幫助組織獲得可靠的安全水平,避免成為本書中詳述的幾十個真實MFA漏洞的犧牲品。
MFA系統的管理員和用戶將了解到,所有MFA系統都可能受到黑客攻擊,大多數情況下至少有五種不同的攻擊方式。那些鼓吹MFA系統牢不可破的人,要么是MFA系統的銷售人員,要么是幼稚,不能輕信這些人的話。
《多因素身份驗證攻防手冊》講述如何降低*常見MFA安全漏洞的風險,從而阻止惡意攻擊者訪問系統。將討論如何快捷地、全面地評估組織的MFA解決方案,找出會被已知攻擊方式利用的漏洞。
《多因素身份驗證攻防手冊》列舉了真實的MFA攻擊示例,并提出實用的防御策略。
《多因素身份驗證攻防手冊》是CISSP專家、CIO、CISO和滲透測試團隊的理想讀物;對于任何有興趣創建或改進MFA安全基礎架構的信息安全專業人員,本書也是案頭書籍。
多因素身份驗證攻防手冊 內容簡介
本書主要內容 ● MFA的技術原理,以及如何破解MFA技術 ● 不同類型的MFA技術的優缺點 ● 如何開發或選擇一個更安全的MFA解決方案 ● 如何從數百個MFA解決方案中為自己的環境選擇**方案
多因素身份驗證攻防手冊 目錄
第1 章 登錄問題 3
1.1 外部環境十分糟糕 3
1.2 口令問題 4
1.3 口令基礎知識 8
1.3.1 身份 9
1.3.2 口令 9
1.3.3 口令注冊 10
1.3.4 口令的復雜度 10
1.3.5 口令存儲 11
1.3.6 口令身份驗證 12
1.3.7 口令策略 13
1.3.8 口令會在現實世界持續一段時間 16
1.4 口令問題和攻擊 16
1.4.1 口令猜測 16
1.4.2 破解口令哈希 20
1.4.3 口令竊取 23
1.4.4 顯而易見的口令 24
1.4.5 自討苦吃 26
1.4.6 口令破解防御之道 26
1.5 MFA 馳馬來援? 27
1.6 小結 27
第2 章 身份驗證基礎 29
2.1 身份驗證生命周期 30
2.1.1 身份 30
2.1.2 身份驗證 40
2.1.3 授權 47
2.1.4 核算/審計 47
2.1.5 標準 48
2.2 身份法則 48
2.3 真實世界中的身份驗證問題 49
2.4 小結 50
第3 章 身份驗證類型 51
3.1 個人識別 51
3.2 基于知識的身份驗證 52
3.2.1 口令 52
3.2.2 PIN 53
3.2.3 解決難題 55
3.3 口令管理器 58
3.4 單點登錄和代理 61
3.5 密碼術 62
3.5.1 加密 62
3.5.2 公鑰基礎架構 65
3.5.3 哈希 68
3.6 硬件令牌 69
3.6.1 一次性口令設備 69
3.6.2 物理連接設備 71
3.6.3 無線 73
3.7 基于手機 75
3.7.1 語音身份驗證 75
3.7.2 手機應用程序 75
3.7.3 SMS 77
3.8 生物識別技術 78
3.9 FIDO 78
3.10 聯合身份和API 79
3.10.1 OAuth 80
3.10.2 API 81
3.11 上下文/自適應 81
3.12 不太流行的方法 82
3.12.1 無線電 82
3.12.2 基于紙張 83
3.13 小結 83
第4 章 易用性與安全性 85
4.1 易用性意味著什么? 85
4.2 人們不是真的想要*高等級的安全性 86
4.3 安全性通常是折中的方案 88
4.4 過度安全 89
4.4.1 七因素身份驗證 89
4.4.2 移動ATM 鍵盤號碼 91
4.5 不像人們想的那樣擔心攻擊方攻擊 92
4.6 “無法破解”的謬論 93
4.6.1 “牢不可破”的Oracle 95
4.6.2 djb 96
4.6.3 “不可破解”的量子密碼術 96
4.7 我們是反應靈敏的“羊” 97
4.8 安全劇院 98
4.9 隱蔽式安全性 99
4.10 大多數MFA 解決方案降低了實現和運營的速度 100
4.11 MFA 會導致停機 100
4.12 不存在支持所有場景的
MFA 解決方案 100
4.13 小結 101
第II 部分 MFA 攻擊
第5 章 攻擊MFA 的常見方法 105
5.1 MFA 依賴組件 106
5.1.1 注冊 107
5.1.2 用戶 109
5.1.3 設備/硬件 109
5.1.4 軟件 110
5.1.5 API 110
5.1.6 身份驗證因素 110
5.1.7 身份驗證機密庫 110
5.1.8 密碼術 111
5.1.9 技術 111
5.1.10 傳輸/網絡通道 112
5.1.11 命名空間 112
5.1.12 配套基礎架構 112
5.1.13 依賴方 113
5.1.14 聯盟/代理 113
5.1.15 備用身份驗證方法/恢復 113
5.1.16 遷移 113
5.1.17 撤銷配置 114
5.1.18 MFA 組成部分的總結 114
5.2 主要攻擊方法 115
5.2.1 技術攻擊 115
5.2.2 人為因素 115
5.2.3 物理因素 117
5.2.4 使用兩種或兩種以上的攻擊方法 117
5.2.5 “你沒有破解MFA!” 117
5.3 如何發現MFA 漏洞 118
5.3.1 威脅建模 118
5.3.2 代碼審查 118
5.3.3 模糊測試 119
5.3.4 滲透測試 119
5.3.5 漏洞掃描 119
5.3.6 手工測試 119
5.3.7 事故 120
5.4 小結 120
第6 章 訪問控制令牌的技巧 121
6.1 訪問令牌基礎 121
6.2 針對訪問控制令牌的常見攻擊 122
6.2.1 令牌復制/猜測 122
6.2.2 令牌盜竊 124
6.3 復制令牌攻擊示例 125
6.4 網絡會話劫持技術及實例 127
6.4.1 Firesheep 128
6.4.2 MitM 攻擊 128
6.5 防御訪問控制令牌攻擊 134
6.5.1 生成隨機的、不可猜測的會話ID 135
6.5.2 使用業內公認的密碼術和密鑰大小 135
6.5.3 研發團隊應該遵循安全編碼實踐 136
6.5.4 使用安全傳輸通道 136
6.5.5 使用超時保護 136
6.5.6 將令牌綁定到特定設備或站點 136
6.6 小結 138
第7 章 終端攻擊 139
7.1 終端攻擊風險 139
7.2 常見的終端攻擊 140
7.2.1 編程攻擊 140
7.2.2 物理訪問攻擊 141
7.2.3 終端攻擊方可做什么? 142
7.3 特定終端攻擊示例 144
7.3.1 Bancos 特洛伊木馬 144
7.3.2 交易攻擊 146
7.3.3 移動攻擊 146
7.3.4 泄露的MFA 密鑰 147
7.4 終端攻擊防御 148
7.4.1 MFA 研發團隊防御 148
7.4.2 終端用戶防御 150
7.5 小結 152
第8 章 SMS 攻擊 153
8.1 SMS 簡介 153
8.1.1 SS7 156
8.1.2 SMS *大的弱點 156
8.2 SMS 攻擊示例 158
8.2.1 SIM 卡交換攻擊 158
8.2.2 SMS 模擬 160
8.2.3 SMS 緩沖區溢出 163
8.2.4 手機用戶賬戶劫持 164
8.2.5 對底層支持基礎架構的攻擊 165
8.2.6 其他基于SMS 的攻擊 165
8.2.7 SIM/SMS 攻擊方法概述 166
8.2.8 NIST 數字身份指南警告 166
8.3 防御基于SMS 的MFA攻擊 167
8.3.1 研發團隊防御 167
8.3.2 用戶防御 169
8.3.3 RCS 是來保存移動消息的嗎? 170
8.3.4 基于SMS 的MFA 比口令好嗎? 171
8.4 小結 171
第9 章 一次性口令攻擊 173
9.1 一次性口令簡介 173
9.1.1 基于種子值的OTP 176
9.1.2 基于HMAC 的OTP 177
9.1.3 基于事件的OTP 179
9.1.4 基于時間的一次性口令 180
9.2 OTP 攻擊示例 183
9.2.1 OTP 代碼網絡釣魚 183
9.2.2 創建的OTP 欠佳 184
9.2.3 盜竊、重新創建和重用OTP 185
9.2.4 種子數據庫遭竊 186
9.3 防御OTP 攻擊 188
9.3.1 研發團隊防御 188
9.3.2 使用可靠的、可信的和經過測試的OTP算法 188
9.3.3 OTP 設置代碼必須有過期時間 188
9.3.4 OTP 結果代碼必須有過期時間 189
9.3.5 阻止OTP 重放 189
9.3.6 確保用戶的RNG 經過NIST 認證或者是QRNG 189
9.3.7 通過要求OTP 代碼以外的輸入來提高安全性 189
9.3.8 阻止暴力破解攻擊 190
9.3.9 安全的種子值數據庫 190
9.3.10 用戶防御 190
9.4 小結 191
第10 章 主體劫持攻擊 193
10.1 主體劫持攻擊簡介 193
10.2 攻擊示例 193
10.2.1 Active Directory 和智能卡 194
10.2.2 模擬演示環境 196
10.2.3 主體劫持攻擊演示 200
10.2.4 更廣泛的問題 204
10.2.5 動態訪問控制示例 205
10.2.6 ADFS MFA 旁路 206
10.3 組件攻擊防御 206
10.3.1 威脅模型依賴性濫用場景 206
10.3.2 保護關鍵依賴項 207
10.3.3 有關依賴性濫用的培訓 207
10.3.4 防止一對多映射 208
10.3.5 監測關鍵依賴項 208
10.4 小結 208
第11 章 虛假身份驗證攻擊 209
11.1 通過UAC 學習虛假身份驗證 209
11.2 虛假身份驗證攻擊示例 214
11.2.1 外觀相似的網站 214
11.2.2 偽造Office 365登錄 215
11.2.3 使用與MFA 不兼容的服務或協議 216
11.3 防御虛假身份驗證攻擊 217
11.3.1 研發團隊防御 217
11.3.2 用戶防御 218
11.4 小結 219
第12 章 社交工程攻擊 221
12.1 社交工程攻擊簡介 221
12.2 社交工程共性 223
12.2.1 未經身份驗證的通信 223
12.2.2 非物理方式 224
12.2.3 通常涉及知名組織 224
12.2.4 通常基于重要時事且令人感興趣 225
12.2.5 緊張性刺激 226
12.2.6 高級:假冒 226
12.2.7 利用可信的第三方實施網絡釣魚 227
12.3 針對MFA 的社交工程攻擊示例 228
12.3.1 偽造銀行警告 228
12.3.2 哭鬧的嬰兒 228
12.3.3 竊取大樓門禁卡 229
12.4 對MFA 社交工程攻擊的防御 230
12.4.1 研發團隊對MFA 的防御 230
12.4.2 用戶對社交工程攻擊的防御 232
12.5 小結 233
第13 章 降級/恢復攻擊 235
13.1 降級/恢復攻擊簡介 235
13.2 降級/恢復攻擊示例 235
13.2.1 備用電子郵件地址恢復 236
13.2.2 濫用主代碼 239
13.2.3 猜測個人知識問題 240
13.3 防御降級/恢復攻擊 244
13.3.1 研發團隊防御降級/恢復攻擊 244
13.3.2 用戶防御降級/恢復攻擊 247
13.4 小結 249
第14 章 暴力破解攻擊 251
14.1 暴力破解攻擊簡介 251
14.1.1 生日攻擊法 252
14.1.2 暴力破解攻擊方法 253
14.2 暴力破解攻擊示例 253
14.2.1 OTP 旁路暴力破解試驗 253
14.2.2 Instagram MFA 暴力破解 254
14.2.3 Slack MFA 暴力破解旁路 255
14.2.4 UAA MFA 暴力破解漏洞 255
14.2.5 Grab Android MFA暴力破解 255
14.2.6 無限生物識別技術暴力破解 255
14.3 防御暴力破解攻擊 256
14.3.1 研發團隊抵御暴力破解攻擊 256
14.3.2 用戶防御暴力破解攻擊 260
14.4 小結 260
第15 章 軟件漏洞 261
15.1 軟件漏洞簡介 261
15.1.1 常見的漏洞類型 262
15.1.2 漏洞結果 268
15.2 漏洞攻擊示例 269
15.2.1 優步MFA 漏洞 270
15.2.2 Google 身份驗證器漏洞 270
15.2.3 YubiKey 漏洞 270
15.2.4 多個RSA 漏洞 271
15.2.5 SafeNet 漏洞 271
15.2.6 Login.gov 271
15.2.7 ROCA 漏洞 272
15.3 防御漏洞攻擊 272
15.3.1 研發團隊防御漏洞攻擊 272
15.3.2 用戶防御漏洞攻擊 273
15.4 小結 274
第16 章 對生物識別技術的攻擊 275
16.1 簡介 275
16.2 生物識別技術 276
16.2.1 常見的基于生物特征的身份驗證因素 277
16.2.2 生物識別是如何工作的 284
16.3 基于生物特征的身份驗證的問題 287
16.3.1 錯誤率高 287
16.3.2 隱私問題 291
16.3.3 傳播疾病 291
16.4 生物識別技術攻擊示例 292
16.4.1 指紋攻擊 292
16.4.2 手靜脈攻擊 293
16.4.3 眼睛生物識別技術欺騙攻擊 293
16.4.4 人臉識別攻擊 294
16.5 防御生物識別技術攻擊 296
16.5.1 研發團隊防御攻擊 296
16.5.2 用戶/管理員防御攻擊 298
16.6 小結 299
第17 章 物理攻擊 301
17.1 物理攻擊簡介 301
17.2 物理攻擊示例 305
17.2.1 智能卡側信道攻擊 305
17.2.2 電子顯微鏡攻擊 307
17.2.3 冷啟動攻擊 307
17.2.4 嗅探支持RFID 的信用卡 310
17.2.5 EMV 信用卡技巧 312
17.3 防御物理攻擊 312
17.3.1 研發團隊防御物理攻擊 312
17.3.2 用戶防御物理攻擊 314
17.4 小結 316
第18 章 DNS 劫持 317
18.1 DNS 劫持簡介 317
18.1.1 DNS 318
18.1.2 DNS 記錄類型 321
18.1.3 常見DNS 攻擊 322
18.2 命名空間劫持攻擊示例 326
18.2.1 DNS 劫持攻擊 326
18.2.2 MX 記錄劫持 327
18.2.3 Dangling CDN的劫持 327
18.2.4 注冊商接管 328
18.2.5 DNS 字符集技巧 328
18.2.6 ASN.1 技巧 329
18.2.7 BGP 劫持 330
18.3 防御命名空間劫持攻擊 331
18.3.1 研發團隊防御 331
18.3.2 用戶防御 332
18.4 小結 333
第19 章 API 濫用 335
19.1 API 濫用簡介 335
19.1.1 涉及API 的通用身份驗證標準和協議 338
19.1.2 其他常見API 標準和組件 345
19.2 API 濫用示例 348
19.2.1 API 密鑰泄露 348
19.2.2 使用API 繞過PayPal 2FA 349
19.2.3 Auth0 MFA 旁路 350
19.2.4 Authy API 格式注入 350
19.2.5 Duo API 的MFA旁路 351
19.2.6 Microsoft 的OAuth攻擊 352
19.2.7 使用Apple MFA 繞過登錄 353
19.2.8 TOTP BLOB 未來攻擊 353
19.3 預防API 濫用 354
19.3.1 研發團隊防御API濫用 354
19.3.2 用戶防御API濫用 355
19.4 小結 356
第20 章 其他MFA 攻擊 357
20.1 Amazon 詭異的設備MFA 旁路 357
20.2 獲取舊電話號碼 358
20.3 自動繞過MFA 登錄 358
20.4 口令重置繞過MFA 359
20.5 隱藏攝像頭 359
20.6 鍵盤聲竊聽 359
20.7 口令提示 360
20.8 HP MFA 攻擊 360
20.9 攻擊方把MFA 變成用戶的對手 361
20.10 小結 361
第21 章 測試:如何發現漏洞 363
21.1 MFA 解決方案的威脅建模 363
21.1.1 記錄組件并繪制圖表 363
21.1.2 集體討論潛在的攻擊 364
21.1.3 預估風險和潛在損失 365
21.1.4 創建和測試緩解措施 367
21.1.5 開展安全審查 367
21.2 介紹Bloomberg MFA設備 368
21.2.1 Bloomberg 終端 368
21.2.2 B-Unit 新用戶的注冊和使用 369
21.3 Bloomberg MFA 設備的威脅建模 370
21.3.1 一般示例中的B-Unit威脅建模 371
21.3.2 可能的具體攻擊 372
21.4 多因素身份驗證安全評估工具 379
21.5 小結 380
第Ⅲ部分 展望未來
第22 章 設計安全的解決方案 383
22.1 簡介 383
22.2 練習:安全的遠程在線電子投票 384
22.2.1 用例場景 384
22.2.2 威脅建模 385
22.2.3 SDL 設計 387
22.2.4 物理設計和防御 388
22.2.5 配置/注冊 389
22.2.6 身份驗證和運營 390
22.2.7 可確認/可審計的投票 392
22.2.8 通信 393
22.2.9 后端交易賬本 393
22.2.10 遷移和撤銷配置 395
22.2.11 API 395
22.2.12 操作培訓 395
22.2.13 安全意識培訓 396
22.2.14 其他 396
22.3 小結 397
第23 章 選擇正確的MFA 解決方案 399
23.1 簡介 399
23.2 選擇正確MFA 解決方案的流程 402
23.2.1 創建項目團隊 402
23.2.2 創建項目計劃 403
23.2.3 培訓 404
23.2.4 確定需要保護的內容 405
23.2.5 選擇所需和期望的功能 405
23.2.6 研究/選擇供應商解決方案 412
23.2.7 開展試點項目 414
23.2.8 選出贏家 414
23.2.9 部署到生產環境 414
23.3 小結 415
第24 章 展望身份驗證的未來 417
24.1 網絡犯罪一直存在 417
24.2 未來的攻擊 418
24.2.1 自動化程度日益提高 419
24.2.2 基于云的威脅 420
24.2.3 自動攻擊MFA 420
24.3 可能留下什么 421
24.3.1 口令 421
24.3.2 主動式警告 421
24.3.3 站點和設備的預注冊 423
24.3.4 手機作為MFA設備 423
24.3.5 無線 423
24.3.6 變化的標準 423
24.4 未來 424
24.4.1 零信任 424
24.4.2 持續的、自適應的和基于風險的 425
24.4.3 對抗量子攻擊的密碼術 428
24.5 有趣的新身份驗證思想 428
24.6 小結 428
第25 章 經驗總結 429
25.1 一般性教訓 429
25.1.1 MFA 工程 429
25.1.2 MFA 并非不可破解 430
25.1.3 培訓是關鍵 430
25.1.4 安全不是一切 431
25.1.5 每種MFA 解決方案都有取舍 431
25.1.6 身份驗證不存在于真空中 431
25.1.7 不存在適用于所有人的*佳MFA 解決方案 434
25.1.8 有更好的MFA 解決方案 434
25.2 MFA 防御回顧 435
25.2.1 研發團隊防御總結 435
25.2.2 用戶防御總結 437
※ 以下內容可掃封底二維碼下載 ※
附錄 MFA 供應商名單
多因素身份驗證攻防手冊 作者簡介
Roger A. Grimes是全球知名的安全顧問,是擁有逾30年工作經驗的計算機安全專家和滲透測試工程師。Roger擔任InfoWorld/CSO雜志的專欄作家長達15年之久,也是一位廣受歡迎的演講者,曾在包括RSA、Black Hat和TechMentor在內的大型安全行業會議上發表演講。
- >
人文閱讀與收藏·良友文學叢書:一天的工作
- >
隨園食單
- >
名家帶你讀魯迅:故事新編
- >
月亮與六便士
- >
推拿
- >
上帝之肋:男人的真實旅程
- >
經典常談
- >
山海經