口令管理机制的要求

作者&投稿:臧终 (若有异议请与网页底部的电邮联系)
银行的那种动态口令是通过什么机制实现付款的?~

时间同步基于令牌和服务器的时间同步,通过运算来生成一致的动态口令,基于时间同步的令牌,一般更新率为60秒,每60秒产生一个新口令,但由于其同步的基础是国际标准时间,则要求其服务器能够十分精确的保持正确的时钟,同时对其令牌的晶振频率有严格的要求,从而降低系统失去同步的几率,从另一方面,基于时间同步的令牌在每次进行认证时,服务器端将会检测令牌的时钟偏移量,相应不断的微调自己的时间记录,从而保证了令牌和服务器的同步,确保日常的使用,但由于令牌的工作环境不同,在磁场,高温,高压,震荡,浸水等情况下易发生时钟脉冲的不确定偏移和损坏。故对于时间同步的设备进行较好的保护是十分必要的,对于失去时间同步的令牌,目前可以通过增大偏移量的技术(前后10分钟)来进行远程同步,确保其能够继续使用,降低对应用的影响,但对于超出默认(共20分钟)的时间同步令牌,将无法继续使用或进行远程同步,必须送回服务器端另行处理。同样,对于基于时间同步的服务器,应较好地保护其系统时钟,不要随意更改,以免发生同步问题,从而影响全部基于此服务器进行认证的令牌。事件同步基于事件同步的令牌,其原理是通过某一特定的事件次序及相同的种子值作为输入,在算法中运算出一致的密码,其运算机理决定了其整个工作流程同时钟无关,不受时钟的影响,令牌中不存在时间脉冲晶振,但由于其算法的一致性,其口令是预先可知的,通过令牌,你可以预先知道今后的多个密码,故当令牌遗失且没有使用PIN码对令牌进行保护时,存在非法登陆的风险,故使用事件同步的令牌,对PIN码的保护是十分必要的。同样,基于事件同步的令牌同样存在失去同步的风险,例如用户多次无目的的生成口令等,对于令牌的失步,事件同步的服务器使用增大偏移量的方式进行再同步,其服务器端会自动向后推算一定次数的密码,来同步令牌和服务器,当失步情况经非常严重,大范围超出正常范围时,通过连续输入两次令牌计算出的密码,服务器将在较大的范围内进行令牌同步,一般情况下,令牌同步所需的次数不会超过3次。但在极端情况下,不排出失去同步的可能性,例如电力耗尽,在更换电池时操作失误等。此时,令牌仍可通过手工输入由管理员生成的一组序列值来实现远程同步,而无需返回服务器端重新同步

应该填写登陆数据库的密码。
在ORALCE数据库系统中,用户如果要以特权用户身份(SYS/SYSDBA/SYSOPER)登录ORALCE数据库可以有两种身份验证的方法:即使用与操作系统集成的身份验证或使用ORALCE数据库的密码文件进行身份验证。因此,管理好密码文件,对于控制授权用户从服务器本机或远端登录Oracle数据库系统,执行数据库管理工作,具有重要的意义.
ORALCE口令文件用于存储拥有部分特权用户(sys等用户)的口令(注意:普通账号密码是不会存储在口令文件的)。允许用户通过口令文件验证,在数据库未启动之前登陆,从而启动数据库。如果没有口令文件,在数据库未启动之前就只能通过操作系统认证.口令文件存放在$ORACLE_HOME/dbs目录下(linux,window放在database),默认名称是orapw$ORACLE_SID。即密码文件位置:
Linux下的存放位置:$ORACLE_HOME/dbs/orapw.ora
Windows下的存放位置:$ORACLE_HOME/database/PW%ORACLE_SID%.ora

口令是最重要的单个用户标识符。通过它,系统可验证一个用户的身份,以便允许该用户访问系统。由于口令在使用、存储或已知的情况下容易泄露,因此必须始终秘密保存。下列各节将进一步讨论口令。

系统管理员职责

系统管理员以及系统中的每个用户必须共同承担保护口令安全的职责。系统管理员执行下列安全任务:

确保所有用户都有自己的口令。

在所有系统文件中应用适当的权限,包括标准的口令文件和组文件,即 /etc/passwd 和 /etc/group。

对于无权再访问系统的用户,应删除其用户 ID 和口令,或者使其用户 ID 和口令无效。

验证是否所有应用程序口令都已加密。

验证为 /var/adm/btmp 和 /var/adm/wtmp 设置的权限是否正确。

对每次 guest 访问使用一次性口令。

告知用户与口令安全性相关的职责。

利用口令时限性强制用户定期更改其口令。

防止重新使用最近的口令。

在 /etc/default/security 文件中配置系统范围的安全属性。有关详细信息,请参阅“定义系统安全属性”,并参考 security(4)。

转换系统以使用影子口令。有关详细信息,请参阅“/etc/shadow 影子口令文件”以及 shadow(4) 和 pwconv(1M)。

用户职责

每个用户必须遵守下列规则:

记住口令,并始终将它秘密保存。

立即更改初始口令,并坚持更改口令。

报告任何状态变更,以及任何值得怀疑的安全违规现象。

确保输入口令时无人监视。

好口令的标准

选择口令时应遵守下列准则并将其传达给用户:

选择的口令至少应有 6 个字符,最多不超过 80 个字符。特殊字符可以包括控制符以及诸如星号和斜杠之类的符号。在标准模式下,只使用前 8 个字符。

不要选择可以在任何语言的字典中找到的单词,即便反过来拼也不可以。有一些软件程序可以找到并匹配您使用的单词。

不要选择容易与用户关联起来的口令,例如家庭成员或宠物的名字,或者是某种业余爱好。

不要使用简单的键盘序列(例如 asdfghjkl)或登录名的重复(例如,如果登录名为 ann,则 annann 便不是好的口令)。

可以考虑使用拼错的单词或两个不相关单词的音节组合来组成适合的口令。另一种常用的方法是使用最喜欢的标题或短语的前几个字符作为口令。

可以考虑使用口令生成器来组合音节以生成可发音的混乱文字。

不要与其他用户共享口令。管理人员必须禁止共享口令。

始终使用口令。不要清除 /etc/passwd 文件中的口令字段。

更改 /etc/passwd 口令文件

标准系统维护一个口令文件:/etc/passwd。

所有口令输入后便立即加密,并存储在口令文件 /etc/passwd 中。在比较过程中仅使用加密的口令。

如果需要更改口令文件,请遵守下列准则:

不允许有任何空的口令字段;否则便是安全违例。空口令字段允许任何用户为该帐户设置口令。

不要直接编辑口令文件。应使用 HP SMH 或者 useradd、userdel 或 usermod 命令来修改口令文件条目。如果必须直接编辑口令文件,请使用 vipw 命令,并使用 pwck 命令进行检查。有关详细信息,请参阅vipw(1M) 和 pwck(1M)。

passwd 命令示例
下面是一些有用的 passwd 命令示例:

重置用户的口令:

# passwd user1

在下次登录时强制更改口令:

# passwd -f user1

锁定或禁用帐户:

# passwd -l user2

启用口令时限性:

# passwd -n 7 -x 28 user1

查看特定用户的口令时限性状态:

# passwd -s user

查看所有用户的口令时限性状态:

# passwd -sa

/etc/passwd 文件格式
/etc/passwd 文件用于在用户登录时验证其身份。对于 HP-UX 系统中的每个帐户,该文件都包含一个相应的条目。每个条目均由冒号分隔的七个字段组成。典型的 /etc/passwd 条目应与下面的示例类似:

robin:Z.yxGaSvxAXGg:102:99:Robin Hood,Rm 3,x9876,408-555-1234:/home/robin:/usr/bin/sh

字段包含下列信息(按顺序列出),各信息之间用冒号分隔:

robin - 用户(登录)名,最多由 8 个字符组成。

Z.yxGaSvxAXGg - 加密口令字段

102 - 用户 ID,为 0 到 MAXINT-1(等于 2、147、483、646 或 231 -2)之间(含)的整数。

99 - 组 ID,来自 /etc/group,为 0 到 MAXINT-1 之间(含)的整数。

Robin Hood,Rm 3,x9876,408-555-1234 - 注释字段,用于标识诸如用户的全名、位置和电话号码等信息。由于历史原因,该字段也称为 gecos 字段。

/home/robin - 主目录,用户的起始登录目录。

/usr/bin/sh - 登录 shell 路径名,用户登录时执行。

用户可以分别通过调用 passwd、chfn 以及 chsh 来更改口令、注释字段(第五个字段)以及登录程序路径名(第七个字段)。余下的字段由系统管理员设置。用户 ID 必须是唯一的。有关详细信息,chfn(1)、chsh(1)、passwd(1) 和 passwd(4)。

/etc/shadow 影子口令文件

可用于恶意口令解密器的计算能力的不断提高使 /etc/passwd 文件中的非隐藏口令非常容易被解密,

而影子口令将加密的口令隐藏在影子口令文件中,从而增强了系统安全性。可以将先前存储在公共可读文件 /etc/passwd 中的加密口令移动至 /etc/shadow 文件中,只有具有适当权限的用户才可以访问此文件。

使用下列命令可启用、验证和禁用影子口令:

pwconv 命令创建影子口令文件,并将加密的口令从 /etc/passwd 文件复制到 /etc/shadow 文件。

pwck 命令检查文件 /etc/passwd 和 /etc/shadow 中的不一致性。

pwunconv 命令将加密的口令和时限性信息从 /etc/shadow 文件复制到 /etc/passwd 文件中,然后删除 /etc/shadow 文件。

有关详细信息,请参阅 pwconv(1M)、pwck(1M)、pwunconv(1M) 和 shadow(4)。

请注意有关影子口令功能的下列各点。

启用影子口令功能后,如果应用程序直接访问 /etc/passwd 文件的口令字段来获取口令和时限性信息,则这些应用程序会受到影响。此字段现在会包含一个 x,表示此信息位于 /etc/shadow 中。

使用 PAM 接口进行验证的应用程序不会受到影响。

要以编程方式访问 /etc/shadow 文件,请使用 getspent() 调用。这些调用类似于 /etc/passwd 的 getpwent() 调用。有关详细信息,请参阅 getspent(3C) 和 getpwent(3C)。

在 /etc/nsswitch.conf 文件中,影子口令受 files、NIS 和 LDAP 名称服务支持,但是其他名称服务器转换后端可能不支持影子口令。要配置系统使其仅使用 files、NIS 和(或) LDAP,请确保 /etc/nsswitch.conf 中的 passwd 行仅包含 files、NIS 和(或) LDAP。如果 /etc/nsswitch.conf 不存在,或者其中不存在 passwd 行,则缺省值仅是 files。有关详细信息,请参阅 nsswitch.conf(4)。

影子口令基于在其他 UNIX 系统中提供的 de facto 标准。

/etc/default/security 中定义的下列属性适用于影子口令。有关详细信息,请参阅“定义系统安全属性”以及 security(4) 联机帮助页。

INACTIVITY_MAXDAYS - 帐户过期前可处于非活动状态的天数。

PASSWORD_MINDAYS - 可以更改口令前的最少使用天数。

PASSWORD_MAXDAYS - 口令的最大有效天数。

PASSWORD_WARNDAYS - 警告用户口令过期之前的天数。

下列产品支持影子口令:

轻量级目录访问协议 (LDAP)

Ignite-UXht 目录访问协议 (LDAP)

Serviceguard

下列软件不支持影子口令:

Process Resource Manager (PRM)

预期口令保存在 /etc/passwd 中的应用程序

有关详细信息,请参阅下列联机帮助页:

passwd(1)、pwck(1M)、pwconv(1M)、pwunconv(1M)、getspent(3C)、putspent(3C)、nsswitch.conf(4)、passwd(4)、security(4)、shadow(4)

在 /etc/passwd 中消除伪帐户并保护密钥子系统

传统的 /etc/passwd 文件包含大量的“伪帐户”,即与各个用户无关且没有真正的交互式登录 Shell 的条目。

其中的一些条目(例如 date、who、sync 和 tty)是为方便用户而形成的,它们提供无需登录即可执行的命令。为了加强安全性,在分发的 /etc/passwd 中已将其删除,这样这些程序只能由已登录的用户运行。

其他类似的条目则保留在 /etc/passwd 中,因为它们是文件的属主。具有属主的程序(例如 adm、bin、daemon、hpdb、lp 和 uucp)可作用于整个子系统,并且代表一种特例。由于它们授予对它们所保护或使用的文件的访问权限,因此必须在 /etc/passwd 中列出相应的条目,以便允许这些程序作为伪帐户运行。传统的伪帐户和特殊帐户如示例 3-1 “伪帐户和特殊系统帐户”所示。

示例 3-1 伪帐户和特殊系统帐户

root::0:3::/:/sbin/sh
daemon:*:1:5::/:/sbin/sh
bin:*:2:2::/usr/bin:/sbin/sh
sys:*:3:3::/:
adm:*:4:4::/var/adm:/sbin/sh
uucp:*:5:3::/var/spool/uucppublic:/usr/lbin/uucp/uucico
lp:*:9:7::/var/spool/lp:/sbin/sh
nuucp:*:11:11::/var/spool/uucppublic:/usr/lbin/uucp/uucico
hpdb:*:27:1:ALLBASE:/:/sbin/sh
nobody:*:-2:-2::/:

这些子系统特权状态的关键是能够授予对受其管辖的程序的访问权限,而无需授予超级用户访问权限 (uid 0),相反,它们设置可执行文件的 setuid 位,并使进程的有效用户对应于可执行文件的属主。例如,cancel 命令是 lp 子系统的一部分,因此它作为有效用户 lp 运行。

设置 setuid 后,该子系统的安全调停机制会强制将所有程序的安全性局限在子系统范围内,而不是整个系统范围内。因此,子系统中有害于安全性的弱点也仅仅只局限于这些子系统内的文件。违例不能影响到其他子系统下的程序。例如,lp 下的程序不会影响到 daemon 下的程序。

使用 HP-UX Secure Shell 进行安全登录

HP-UX Secure Shell 提供安全的远程登录、文件传输和远程命令执行功能。客户端和服务器之间的所有通信都经过加密。通过网络传输的口令不再以明文形式发送。有关详细信息,请参阅 ssh(1) 和 “使用 HP-UX Secure Shell (SSH) 保护远程会话”。

保护存储在 NIS 中的口令

网络信息服务 (NIS) 是网络文件系统 (NFS) 的一部分。NIS 支持从一个中心位置(即主服务器)对多个主机进行配置管理。不是将主机配置分别存储在各个主机上,而是将信息整合到一个中心位置。/etc/password 文件是存储在 NIS 服务器上的多个配置文件之一。

/etc/shadow 影子口令文件在 NIS 上不受支持。

有关 NIS 的信息,请参阅《NFS Services Administrator's Guide》。

保护存储在 LDAP 目录服务器中的口令

LDAP-UX Client Services 与 PAM 进行交互来验证存储在 LDAP 目录服务器上的口令。PAM_LDAP 库提供验证服务


口令管理机制的要求
不要与其他用户共享口令。管理人员必须禁止共享口令。始终使用口令。不要清除 \/etc\/passwd 文件中的口令字段。更改\/etc\/passwd 口令文件 标准系统维护一个口令文件:\/etc\/passwd。所有口令输入后便立即加密,并存储在口令文件 \/etc\/passwd 中。在比较过程中仅使用加密的口令。如果需要更改口令文件,请遵守下列准则:不允许...

管理机制主要包括
2、系统性 管理机制是一个完整的有机系统,具有保证其功能实现的结构与作用系统。3、客观性 任何组织,只要其客观存在,其内部结构、功能既定,必然要产生与之相应的管理机制。这种机制的类型与功能是一种客观存在,是不以任何人的意志为转移的。4、自动性 管理机制一经形成,就会按一定的规律、秩序,...

管理的六个基本要素
因此,作为领导,你必须要有一份可以让下属照着开展工作的计划,并且做好激励机制,并做好考核,光有计划没有考核也就没有管理。根据目标任务设定管理的里程碑节点,然后倒排工作计划,通过多部门目标分解和协同去共同实现它,通过考核聚焦关键管理节点,通过考核绩效考验和巩固执行力。 三、流程与方法 每个下属的能力水平都...

公司管理机制如何建立
一、管理机制是以客观规律为依据,以组织的结构为基础,由若干子机制有机组合而成的。 例如,依据经济规律,会形成相应的利益驱动机制;依据社会和心理规律,会形成相应的社会推动机制。管理机制的自动作用,是严格按照一定的客观规律的要求施加于管理对象的。违反客观规律的管理行为,必然受到管理机制的惩罚。

管理方法和管理手段
第六、搭建完善的管理机制 回顾国内外企业引进职业经理的案例,我们发现管理机制的健全与否,是植入职业经理人成败的关键。诸多国外百强企业进驻中国,首先将它们成功的管理体系进行拷贝。有了这套用人的机制,不管是谁来任职都会按照管理体系的要求运作,管理是透明的,显性的。也就是说企业是靠机制成功,而不是靠某个“英...

商业银行贷款损失准备管理办法第三章 管理要求
第十三条列出了贷款损失准备管理制度的具体内容,包括贷款损失准备的计提政策、程序、方法和模型,明确的职责分工、业务流程及监督机制,贷款损失、呆账核销及准备计提的数据统计制度,以及信息披露的详细要求。此外,还涵盖其他必要的管理制度,以确保整个过程的合规和透明。为了确保管理的有效性,第十四条规定...

旅游消防安全管理机制
旅游消防安全管理机制 第一章 总则 第一条: 为了预防火灾和减少火灾危害,加强应急救援工作,保护人身、财产安全,维护公共安全,根据《中华人民共和国消防法》、《山东省消防条例》等相关法律法规,结合___实际,制定本办法。 第二条: 在___内从事经营、管理、建设、保护及其他活动的单位与个人,适用本办法。 第三条...

如何建立班组管理的长效机制
1)学习培训机制:有助于班组成员的各方面能力提升;2)培训责任机制:有助于班组成员认清自己的责任;3)学习档案机制:有助于班组成员对培训的认识;4)学习管理机制:有助于班组成员对自己的严格要求;5)学习考评机制:有助于班组成员对自己的认识。3.建立运行机制:在班组为班组成员制定了各种机制时,能否...

检验检测机构163号令新版
新版令对检验检测机构的行为规范进行了明确规定,要求机构必须遵循公正、科学、准确、有效的原则,严格遵守国家法律法规和行业标准,确保检验检测工作的客观性和独立性。此外,机构还应建立健全质量管理体系,提高检验检测质量和技术水平。三、监督管理 检验检测机构163号令新版加强了对机构的监督管理力度,建立了...

如何抓好领导干部日常监督管理,规范权力运行机制
制度作为要求大家共同遵守的办事规程,具有严格的规范作用和鲜明的行为导向性,它是领导干部权力运行的准则,是规范管理和执法执纪的准绳,是党内外群众监督领导干部的依据。因此通过建立健全有关制度进行监督,是加强对领导干部权力监督的重要保证。一是制度建立要严明。必须掌握以下原则:要抓住关键人、关键部门和关键问题来...

乌伊岭区13031755129: 个人征信系统用户管理员口令控制制度应包括哪些内容 -
时戴赛迪: 可按金融系统口令管理标准执行,具体可参照相关管理规定. 具体一些内容如: 应该明白如何选择强健的口令. 拙劣的,弱的口令有以下特征: 口令少于八个字符 口令是一个可以在字典里找到的词(英语或外语) 口令是一种惯用词汇,例如...

乌伊岭区13031755129: 谁能给一份动态口令卡管理制度!
时戴赛迪: 动态口令卡管理制度

乌伊岭区13031755129: windows系统实现安全机制的基本手段有哪些 -
时戴赛迪: 1.标识、鉴别及可信通路机制 用于保证只有合法用户才能以系统允许的方式存取系统中的资源.用户合法性检查和身份认证机制通常采用口令验证或物理鉴定(如磁卡或IC卡、数字签名、指纹识别、声音识别)的方式.而就口令验证来讲,系统...

乌伊岭区13031755129: 分析一下口令机制的优缺点.并介绍windows或UNIX系统中保护口令文件的方法. -
时戴赛迪: UNIX系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息(加密后的口令也可能存于/etc/shadow文件中). /etc/passwd中包含有用户的登录名,经过加密的口令,用户号,用户组号,用户注释,用户主目录和用户所用的shell程序.其中用户号(UID)和用户组号(GID)用于UNIX系统唯一地标识用户和同组用户及用户的访问权限. /etc/passwd中存放的加密的口令用于用户登录时输入的口令经计算后相比较,符合则允许登录,否则拒绝用户登录.用户可用passwd命令修改自己的口令,不能直接修改/etc/passwd中的口令部份.

本站内容来自于网友发表,不代表本站立场,仅表示其个人看法,不对其真实性、正确性、有效性作任何的担保
相关事宜请发邮件给我们
© 星空见康网