iT邦幫忙

2024 iThome 鐵人賽

DAY 4
0
Security

30 天成為 IAM 達人系列 第 4

Day 4: 身份安全基石:背後的密碼安全原理

  • 分享至 

  • xImage
  •  

資訊系統的運作,建立在我們信任這個系統的前提,
在每個科技背後,除了品牌信心與安全的象徵之外,
如果人們無法信賴它、使用它,並且放心的將資料放在其中,
那即使再好的優惠功能,也始終會讓人在使用上存有疑慮。

密碼學的存在,即是為了確保 IT 系統的使用的背後,
都能有最核心的保護我們敏感資料的關鍵存在。
隨著電腦 1970 年代開始發展以來,
隨之而來針對其中的竊取、監聽、破譯或側錄都所在多有,
最初當然是因為戰爭因素,所以加速了密碼學的整體發展,
但即使時至 2024 年 8 月,因應新的量子電腦新興科技趨勢,
美國技術標準研究院 NIST 也正式公佈能用以抵抗量子電腦破譯的演算法,
可以說科技的進程發展的基石,即是背後能提供的安全保證。

帳號密碼保存與使用 (Hash)

在每個科技產品內,無論是電腦、手機、平板、智慧家電,
往往都需要採用身份認證的步驟,來在第一時間驗證合法用戶,
此時每個系統便必須設計儲存帳號與密碼的機制,
以便隨時針對用戶提出驗證申請時,能及時處理認證需求。

以 Microsoft 系統而言,
基本上提供 Security Accounts Manager (SAM) 資料庫,
或是 Active Directory 資料庫作為認證資料的存放與取用,
再者利用 NTLM 認證機制,檢視存放於 SAM 資料庫的雜湊值密碼是否正確,
或是更嚴謹的 Kerberos,包含金鑰派發流程機制的強認證機制。

在背後運用到的密碼學原理,則有一次性的雜湊函數 (Hash),
或是使用由密碼公鑰基礎設施 PKI 支持的金鑰派發機制 (KDC),
來因應可能面臨的面對的密碼破解攻擊,像是:
: 字典攻擊 (Dictionary Attack)
: 暴力攻擊 (Brute-Force Attack)
: 條件攻擊 (Rule-based) Attack)...

認證安全:非對稱公開金鑰基礎 (PKI)

認證階段要完成對當前用戶的身份的認證,
得面臨: 如何確保認證過程的安全性無虞?

以 TLS/SSL 憑證機制而言,
即採用「非對稱公開金鑰(public key cryptography)」,
而廣泛採用 TLS/SSL 機制的即為最流行的 Https 通訊協議,
包含透過採用兩把不同的金鑰來提供加、解密作法:
其中私鑰 (Private Key) 用以解密加密後的資料,
以及公鑰 (Public Key) 用以加密要傳送的明文資料,
透過一方公鑰加密、一方私鑰解密的流程,保護兩者之間通訊關係。
而 TLS/SSL 憑證機制最為關鍵的即為背後的憑證 (Certificate)。

數位憑證 (Digital Certificate) 係支持 PKI 機制運行的核心,
憑證是透過數位簽署 (Digital Signature) 的聲明,
內含公鑰和主體名稱資訊,例如使用者、公司或系統名稱。
而 PKI 機制的身份認證則依賴 CA 簽章和提供的數位憑證(或是公鑰憑證),
廣泛用於 Internet 上的加密訊息或驗證訊息傳送者身分。
也因此自 2019 年起,絕大多數的瀏覽器平台,
都會將未採用 HTTPS 的網站列為不安全的警示。

小結

帳號密碼的存管、派送與驗證,背後都運用很多密碼學原理基礎,
為的是希望透過採用嚴謹的金鑰管控流程 (產製、分發、派送、更新),
都能實踐在理論數學已驗證過的系統安全性,
故除了儲存本身可以使用雜湊函數 (HASH/MD5/SHA) 機制外,
為了經濟、便利廣泛的網際網路系統連接,也應運而生的 PKI 基礎,
透過權威單位管控的合法性憑證,成為一般性網站安全與否的指標,
進而將流量加密成為預設選項,來確保網路流量傳輸的機敏資訊保護。


上一篇
Day 3: 身份管理元素:帳號密碼與角色權限
下一篇
Day 5: 身份安全技術:SSO 與 MFA 機制
系列文
30 天成為 IAM 達人30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言