1、HOTP、TOTP(p656)
HOTP:散列消息验证码 (HMAC)包括一个散列函数,由基于HMAC的一次性密码(HMAC-based One-Time Password,HOTP) 标准用于创建一次性密码。它通常会创建6到8个数字的 HOTP 值。这类似于令牌创建的异步动态密码。HOTP 值在使用前一直有效。
TOTP:基于时间的一次性密码(Time-based One-Time Password,TOTP)标准类似于 HOTP。但是,它使用时间戳并在特定时间范围内保持有效,例如 30 秒。如果用户在时间范围内未使用 TOTP 密码,则该密码将过期。这类似于令牌使用的同步动态密码。
2、无密码身份认证(Passwordless Authentication)(p656)
无密码身份认证允许用户无需输入密码(或任何其他记住的秘密)即可登录系统。例如,许多智能手机和平板电脑都支持生物识别认证。快速身份识别在线联盟(Fast Identity Online,FIDO) 联盟是一个开放的行业协会,其既定使命是减少对密码的过度依赖。
3、基于云的联合身份管理(Cloud-Based Federation)(p661)
基于云的联合身份管理通常使用第三方服务来共享联合身份。一种常见的方法是将用户的内部登录 ID 与联合身份进行匹配。例如,许多企业在线培训网站使用联合 SSO 系统。当组织与在线培训公司协同员工访问时,他们也会协同联合身份的详细信息。用户使用他们的正常登录 ID 在组织内登录。当用户使用 Web 浏览器访问培训网站时,联合身份管理系统使用他们的登录 ID 来检索匹配的联合身份。如果找到匹配项,则授权用户访问授予联合身份的网页。
4、本地联合身份管理(On-Premise Federation)(p661)
联合身份管理系统可以部署在本地、云端或两种方式都用的混合模式。作为本地联合身份管理系统的例子,假设公司A与公司B合并。两家公司都有自己的网络和 SSO 系统。但是,管理层希望员工无需登录两次即可访问两个网络中的资源。通过创建本地联合身份管理系统,两家公司可以共享身份验证数据。该系统允许用户继续正常登录,但他们也将有权访问其他公司的网络资源。本地解决方案为组织提供了最大的控制权。
5、混合联合身份管理 (Hybrid Federation)(p661)
混合联合是基于云的解决方案和本地解决方案的组合。比如 公司A有一个基于云的联合身份系统,为员工提供在线培训。与公司B 合并后,他们实施了一个本地解决方案,用于实现两家公司共享身份。这种方法不会自动授予公司B员工访问培训站点的权限。但是,可以将现有的本地解决方案与培训站点的基于云的解决方案相集成。这为公司B的员工创建了一个混合解决方案,并且与其他联合解决方案一样,为公司B的 员工提供了 SSO。
6、即时(Just-in-Time)(p662)
一些联合身份解决方案支持即时 (JIT)的配置功能。这些解决方案会自动创建两个实体之间的关系,以便新用户可以访问资源。JIT 解决方案无需任何管理员干预即可创建连接。JIT 系统通常使用 SAML 来交换所需的数据。
7、Mimikatz(708)
Mimikatz 已经成为黑客和渗透测试人员使用的流行工具。以下是 Mimikatz 的一些功能:从内存中读取密码、提取 Kerberos 票证、提取证书和私钥、在内存中读取 LM 和 NTLM 密码哈希、在本地安全授权子系统服务(LSASS)中读取明文密码、列出正在运行的进程。
8、Kerberos 利用攻击(Kerberos Exploitation Attack)(710)
Microsoft 的 Active Directory 使用 Kerberos 作为主要身份验证协议。不幸的是,Kerberos 容易受到使用开源工具(如 Mimikatz)的多种利用攻击。Kerberos 漏洞利用攻击包括:超-哈希传递攻击(Overpass the Hash)、 票据传递攻击(Pass the Ticket)、银票据(Silver Ticket)、金票据(Golden Ticket)、Kerberos暴力破解(Kerberos Brute-Force)、ASREPRoast攻击、Kerberoasting攻击。
后续章节增(改)知识点梳理可关注公众号“铭学在线”