沒錯！第五章討論的就是哎欸欸欸(IAAA) ！ ((冷

識別(Identification)

Something you know.
使用者告訴系統他是誰，例：Username
帳號不可共用，不可告訴其他人。

認證(Authentication)

Something you have.
系統判斷使用者是否真的是他所宣稱的那個人，例：Username + Password

Legacy Single Sign On

• 舊系統通常透過 login batch script 來實現

Single Sign On

單點登錄（SSO）允許多個系統使用中央身份驗證服務器（AS）。
這允許用戶進行一次身份驗證，然後存取多個系統。
缺點：
* 一丟全丟
* 與舊系統整合複雜
* 可能會有假的SSO做社交工程
* 單點失效，驗證主機一掛全掛

講到 SSO 就順便提一下協定：

Kerberos

這個超重要，一定會考

• 希臘神話中的地獄三頭犬
• 對稱密鑰的明文存儲
• 提供第三方身份驗證服務，可用於支持單點登錄，提供客戶端和服務器的相互身份驗證。
• 防止 sniffing & replay attack.

缺點：

• KDC 存儲所有主體（客戶端和服務器）的明文密鑰。
• KDC、TGS 也可能導致單點故障。

SESAME

• 中文翻譯為芝麻
• 是Kerberos的進階，使對稱密鑰的明文存儲
• 在不同作業系統中執行良好，它具有基於角色的訪問控制，在對用戶和服務器進行身份驗證時使用公鑰加密

RADIUS

• 中文翻譯為半徑
• UDP
• 僅加密密碼字段
• 使用可擴展身份驗證協議（EAP）的傳輸協議

TACACS+

• TCP:49
• 加密整個有效負載

https://i2.wp.com/rumyittips.com/wp-content/uploads/2013/12/What-is-the-difference-between-Tacacs-and-Radius11.jpg?resize=500%2C244

Biometric

• 身體特徵(Physical)
• 行為軌跡(Behavioral)

FRR(False Reject Rate),FAR(FalseAccept Rate) ,CER(Crossover Error Rate)
FAR 拒絕錯誤率 false negative：把錯誤的驗證為對的屬於 Type I，寧可殺錯不能放過，軍方超級嚴謹
FRR 錯誤拒絕率 false negative：把對的驗證為錯誤的屬於 Type II，有時候會放行陌生人
CER 交叉錯誤率：平衡點～

授權(Authorization)

Something you are. Administrator OR User？
系統根據該帳號所擁有的權限驗證該使用者

可問責(Accountability)

系統記錄登入後的行為，以供事後分析/查證

看到登入畫面，能輸入密碼的地方，是不是心癢癢啊 >////<
所以還有個密碼攻擊～

密碼攻擊

• 監聽
• SAM File / Shadow file
• 暴力攻擊
• 字典攻擊
• 社交工程
• Rainbow Table 常見密碼

= = = =．= = = =．= = = =．= = = =．= = = =
Domain 5 Identification And Access Management