(网络空间安全技术实践)1.1用户登录系统使用和分析

网络空间安全技术实践教程,吕秋云，王小军，胡耿然，汪云路，王秋华 西安电子科技大学出版社,第一篇 网络空间安全实践入门篇,第一章 网络应用系统使用与分析实验 1.1 用户登录系统使用和分析,网络空间安全技术实践教程,2,1.1 用户登录系统使用和分析,实验目的： 本实验主要是通过对电商（淘宝），信息平台（163），视频资源（土豆视频），即时聊天（QQ），数字化校园（杭电），国外社交网站（facebook）等的登录系统进行登录使用，同时分析使用密码更改的方式，密码设置的强弱限制，以及辅助安全登录的技术使用，来对当前的用户登录系统的安全保护有一个初步认识。,网络空间安全技术实践教程,3,1.1 用户登录系统使用和分析,实验原理： 用户登录系统是网站的基础设施之一，通过该系统可以完成注册账号、登录账号、管理账号等功能。本实验基于用户登录系统，进行一系列的基础操作，由此分析网站的安全性。,网络空间安全技术实践教程,4,1.1 用户登录系统使用和分析,实验要点说明：（实验难点说明） 登录系统 更改密码 分析密码设置要求 辅助安全登录技术,网络空间安全技术实践教程,5,1.1 用户登录系统使用和分析,实验准备： （实验环境，实验先有知识技术说明） 操作系统windows XP及以上 IE 11.0及以上版本浏览器 计算机基本操作.,网络空间安全技术实践教程,6,1.1 用户登录系统使用和分析,实验步骤： 1）淘宝网站登录系统分析及使用 (1)登录淘宝网站账户 淘宝网站有多种登录方式，包括最传统的密码登录，关联账号登录以及手机扫码登录。密码登录（见图1-1-1）可通过手机名、用户名和邮箱作为身份标识，使用密码登录。同时，还能看到可以通过关联的微博和支付宝进行登录。 除此之外，还可以通过已登录的手机淘宝客户端扫码进行登录（见图1-1-2）。需要注意的是，该二维码并非永久有效，一段时间过期后会失效，此时需要刷新产生新的二维码，才能再用手机扫码登录。,网络空间安全技术实践教程,7,1.1 用户登录系统使用和分析,实验步骤： 1）淘宝网站登录系统分析及使用 (2)修改淘宝账户密码 登录账号后，可以在账号管理-安全设置中找到修改登录密码服务，如图1-1-3所示。进入修改密码后，首先需要通过验证绑定的手机号，并且在修改密码之前还需要再进行一次身份验证，方式多种，如图1-1-4所示。 淘宝网站要求用户设置一个包含数字和字母，并且长度超过6位以上的密码，可以增加密码的复杂性，提高暴力攻击的难度。,网络空间安全技术实践教程,8,1.1 用户登录系统使用和分析,实验步骤： 1）淘宝网站登录系统分析及使用 (3)分析与思考 淘宝网站提供了密码登录和扫码登录，同时淘宝网站提示“扫码登录更安全”，请使用网络搜集信息，试着分析扫码登录的原理，并说明为什么扫码登录更安全。,网络空间安全技术实践教程,9,1.1 用户登录系统使用和分析,2）网易163网站登录系统分析及使用 (1)登录网易163网站账户 网易163网站只有密码登录一种方式。密码登录（见图1-1-5）可通过网易邮箱或常用邮箱作为用户身份标识，使用密码登录。,网络空间安全技术实践教程,10,1.1 用户登录系统使用和分析,2）网易163网站登录系统分析及使用 (2)修改网易163账户密码 登录账号后，可在账号中心-账号管理中找到修改密码服务，首先进行绑定手机号的短信验证，然后进入修改密码界面（见图1-1-6）。 网易163网站要求用户设置一个只能使用字母、数字、特殊字符的6-16位密码，并且区分大小写，然而并没有要求用户增大密码的字典，对某些贪图方便的用户来说，可能使用一些简单密码，造成账户安全风险。,网络空间安全技术实践教程,11,1.1 用户登录系统使用和分析,2）网易163网站登录系统分析及使用 (3)分析与思考 如图1-1-5所示，网易163网站在密码登录时使用“验证码”作为登录安全辅助技术，请使用网络搜集信息，试着分析“验证码”技术原理，并总结归纳目前验证码技术的种类。,网络空间安全技术实践教程,12,1.1 用户登录系统使用和分析,3）土豆视频网站登录系统分析及使用 (1) 登录土豆视频网站账户 土豆网站有多种登录方式，包括密码登录、关联账号登录和手机快捷登录。密码登录（见图1-1-7）可通过手机、邮箱或优酷土豆账号作为身份标识，使用密码登录。同时，还能看到可以通过关联的淘宝、支付宝、QQ、微博以及微信进行登录。 除此之外，还可以用绑定手机进行快捷登录（见图1-1-8），网站向绑定手机发送动态密码，并验证动态密码，并且动态密码只在一段时间内有效。,网络空间安全技术实践教程,13,1.1 用户登录系统使用和分析,3）土豆视频网站登录系统分析及使用 (2) 修改土豆视频账户密码 登录账号后，可以在账户设置-账户安全-安全设置中找到修改登录密码服务。进入修改密码后，首先需要通过短信验证绑定的手机号，并且在修改密码时还需要输入原密码，如图1-1-9所示。 土豆视频网站要求用户设置一个只能使用字母、数字和符号的6-16位密码，同样没能有效排除低安全性的密码。,网络空间安全技术实践教程,14,1.1 用户登录系统使用和分析,3）土豆视频网站登录系统分析及使用 (3) 分析与思考 如图1-1-7所示，土豆视频网站提供了密码登录，手机快捷登录，关联帐号登录等3类登录方式，在关联账户登录中，土豆视频可以使用淘宝，支付宝，QQ，Wechat以及微博账户进行登录，请试着分析土豆视频采取广泛的关联帐号登录的目的是什么？并请使用网络搜集信息，试着分析关联帐号登录的技术原理，并说明其带来的安全性和问题。,网络空间安全技术实践教程,15,1.1 用户登录系统使用和分析,4）QQ登录系统分析及使用 (1) 登录QQ账户 (2) 修改QQ账户密码 (3) 分析与思考 如图1-1-12所示，QQ在验证账户主人真实性的时候提供了一个最坏条件的验证环境：即账户主人忘记了密码，同时密保手机号码无效或不在身边的情况下，仍能提供账户主人真实性认证服务。请首先试着以腾讯公司的身份来设计该如何提供该项服务，然后直接使用该项验证方式，比对你的想法和其提供的验证方式，分析其优点和缺点。,网络空间安全技术实践教程,16,1.1 用户登录系统使用和分析,5）数字杭电登录系统分析及使用 (1) 登录数字杭电账号 (2) 修改数字杭电账号密码 (3) 分析与思考 如图1-1-14所示，数字杭电登录时只提供学号和工号的登录。请试着分析并回答如下问题：第一，数字杭电需要提供用户账户注册功能吗？为什么？第二，数字杭电需要使用关联账户登录功能吗？为什么？,网络空间安全技术实践教程,17,1.1 用户登录系统使用和分析,6）facebook网站登录系统分析及使用 (1) 登录facebook网站账户 (2) 修改facebook账户密码 (3) 分析与思考 如图1-1-17所示，用户登录系统后可以更改登录密码，但是当用户忘记密码时，往往可以通过密保手机来重置密码（如图1-1-4，图1-1-6所示），由此，个人手机号码将存储在各种安全保护水平不等的网站之中，增加了个人隐私信息的泄漏风险。请运用网络以及已有知识，试着提出一种解决该类问题的找回密码或者重置密码的方式。,网络空间安全技术实践教程,18,1.1 用户登录系统使用和分析,实验结果要求 本次实验要求使用上述6大类网络应用（电商、信息平台、视频、即时聊天、数字化校园、社交网站）的登录系统，至少选择3个不同本节实验教程给出的网站（但必须满足一种类型一个网站），进行登录操作和修改密码操作，并据此分析登录系统的安全性，从而对网络安全产生更加系统的初步认识。,网络空间安全技术实践教程,19,1.1 用户登录系统使用和分析,实验报告要求 实验报告要求有封面，实验目的，实验环境，实验结果及分析；其中实验结果主要描述你使用的登录系统包含的功能（参看本节实验教程的格式），得出的结论。实验分析主要是分析比对各类登录系统，并用表格形式总结归纳各类登录系统的登录方式，密码安全设置限制，密码重置方式，辅助安全登录技术，其他项等。,网络空间安全技术实践教程,20,1.1 用户登录系统使用和分析,实验扩展要求 选择本节实验教程中6大类登录系统使用和分析中的“（3）分析与思考”部分的1-6个来进行分析并回答，作为实验报告的一部分上交。,网络空间安全技术实践教程,21,1.1 用户登录系统使用和分析,实验视频：,网络空间安全技术实践教程,22,