告别口令泄密, “密九令”亮相首届网安会

2016-07-18


备受瞩目的首届中国网络安全产业大会于2016年7月16日在北京国家会议中心隆重举行,此次大会由中国网络安全产业联盟主办,中央网信办网络安全协调局指导。大会以“树立正确的网络安全观,聚焦产业前沿,推动科技创新”为主旨,邀请了中央网信办领导、国内外网络安全行业及相关领域的专家、产业领袖进行高端对话交流和主题演讲,展示了国内外最前沿的网络安全技术和应用,其中独家亮相的SM9算法应用参展商——深圳奥联信息安全提供的“密九令”强身份认证解决方案引起高度关注

告别口令泄密, “密九令”亮相首届网安会

『用户名和密码泄密严重』

由于很多网站(包括一些知名网站)的用户密码都是以明文方式存放的,黑客可以很容易就截取到存放在服务器上的明文数据。近年来,用户名和密码泄密事件频频发生。如媒体曾报道CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。随后,CSDN"密码外泄门"持续发酵,天涯、世纪佳缘、人人网、网易邮箱、金山等网站也相继被曝用户数据遭泄密,大量的用户账号和密码被公开。于是各个网站纷纷要求用户修改密码,然而,用户修改密码只是“治标”不能 “治本”。

告别口令泄密, “密九令”亮相首届网安会

『传统的身份认证方式各显弊端』

为了保证后台数据的安全,很多网站使用HASH算法对明文密码进行加密存储,但是这并没有有效阻止密码泄密,黑客使用彩虹表技术,在获得加密数据后通过比较,查询或者一定的运算,可以快速定位源数据,获得用户密码。另一个黑客比较常用的方法就是“撞库”,即使用已经泄密的账户密码去尝试登录碰撞,因为很多人习惯在不同的系统中使用同一个密码,其中一个系统发生泄密,其他系统就存在被撞库攻击的威胁。可见,普通的用户名和口令登录方式无法避免弱口令、撞库攻击、字典攻击等问题。如采用类似网银方式的数字证书登录,虽然安全但使用繁琐,还需要在电脑上安装控件或Key驱动和管理程序,使用极其不便。用户亟需一种更加便捷、更加安全的身份认证解决方案。

『告别口令泄密,奥联“密九令”让数据安全无忧』

在本届网络安全产业大会上,奥联推出了基于手机号来登录的“密九令”强身份认证解决方案。该方案基于国密SM9标识密码算法,直接用手机号码作为公钥,实现基于随机数的挑战/应答,整个认证过程中无用户名和口令的传递,彻底杜绝口令泄密。

奥联“密九令”使用也十分简单,通过手机扫码扫描认证登录页面的二维码,可安全登录应用系统,无需安装任何插件或控件、无需使用USB智能密码钥匙、无需等待验证短信、无需更改应用系统、无需输入验证码,可完全抵抗中间人攻击和完全阻断攻击者在不登录系统情况下发起的任何攻击,可有效防止猜密码、SQL注入等常见攻击,安全易用。

此外,此方案可方便集成单点登录功能,用户只需要登录一次就可以为多个应用提供强身份认证,部署简单,无需对业务系统进行任何修改,快速实现应用系统安全升级。

以上功能,密九令还支持以SDK方式提供,可快速集成到用户的应用系统、APP之中。

告别口令泄密, “密九令”亮相首届网安会