2016-12-21
普通的电子邮件很是缺乏安全认证,当今社会冒充别人发送邮件已经不是难事。这种假冒问题的发生是因为核心SMTP不能提供任何验证,所以让很多不法份子很容易伪造电子邮件。
可用的简单的验证机制,涉及使用一个身份字符串或账号和密码。为了验证,用户给服务器提供他的账号名和密码,服务器检查这两个值;如果它们是正确的,则认为该用户被验证了。如果数据不需要在网络上传送,这个机制就是一个可行的解决方案。如果某个人在网络上实施窃听,他可以看到传送的账号和密码,进一步而言使用这个信息假冒这个用户。实现验证的大多数协议都可明文方式在网络上传送密码信息,许多年来一直是一个严重的问题。
假定密码不再以明文传送,这并不意味着问题就解决了。另外还有两个问题需要解决,开始个问题是,黑客仍可能使用字典式攻击,反复尝试不同的密码,试图进入系统。这种类型的攻击在Internet上是相当常见的,保护在网络上发送的密码并不一定能防止字典式攻击。但大多数用户并不擅长保护密码,即使他们对密码进行了保护,仍存在对密码的蛮力组合攻击问题。对付字典式攻击,可使用长序列的真正随机的密码数据。另外,一次性的密码也能防止假冒问题。
密码不再以明文发送的第二个问题是中间人攻击,这涉及一个人或程序插入在通信的双方之间。通信通道被这样暗中破坏,第三方可以截取在两个人之间发送的数据,修改数据,并发送给接收方。许多验证机制都或多或少地受到这种类型的攻击。
如果不想让别人冒充你发送邮件,数字验证技术不失为一个好办法。
