论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 12 篇帖子 ] 
作者 内容
 文章标题 : AI0课后习题的第一道就看不明白,求解答
帖子发表于 : 2012-07-14 09:10 
离线
新手

注册: 2012-06-07 21:22
最近: 2013-12-27 14:35
拥有: 58.00 安全币

奖励: 0 安全币
在线: 546 点
帖子: 5
1.What is derived from a passhprase?
A. A personal password
B. A virtual password
C. A user ID
D. A valid password

答案是B,但是看不明白什么意思


--------本帖迄今已累计获得16安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: AI0课后习题的第一道就看不明白,求解答
帖子发表于 : 2012-07-14 17:58 
离线
顶级用户

关注按钮

注册: 2011-05-15 08:39
最近: 2014-04-16 11:54
拥有: 12,502.00 安全币

奖励: 28127 安全币
在线: 14420 点
帖子: 1085
应该是passphrase吧/

我的理解是:什么是从口令派生出的?(谷歌翻译)

1)一个口令存在的前提是存在用户,所以首先排除C;
2)个人密码无派生之说,是用户自己设定的;
3)D选项不与题目无关。

这道题目的来源应该在:http://www.itl.nist.gov/fipspubs/fip112.htm

引用:
A passphrase may be transformed into a virtual password by using a transformation such as a hashing function or a cryptographic function.


关于virtual password的概念可以参见http://www.itk.ilstu.edu/faculty/chungli/mypapers/ieee_icc08_security_lcg_1.pdf

ps:发现一个题库:http://www.aiotestking.com/isc2/2011/08/which-of-the-following-is-not-one-of-theseitems/


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: AI0课后习题的第一道就看不明白,求解答
帖子发表于 : 2012-07-14 21:34 
离线
超级用户

关注按钮

注册: 2005-08-23 10:36
最近: 2018-05-15 15:04
拥有: 4,493.90 安全币

奖励: 1804 安全币
在线: 5428 点
帖子: 326
地址: Security
学习了,不过觉得Virtual Password 好像有点麻烦,实际用处大么


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: AI0课后习题的第一道就看不明白,求解答
帖子发表于 : 2012-07-16 10:03 
离线
顶级用户

关注按钮

注册: 2011-05-15 08:39
最近: 2014-04-16 11:54
拥有: 12,502.00 安全币

奖励: 28127 安全币
在线: 14420 点
帖子: 1085
昨天做了那21道题,第一遍对了8道,第二遍对了14道,慢慢来了~

悲催的光盘找不到了,不知有没有人可以分享下光盘内容?谢谢!


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: AI0课后习题的第一道就看不明白,求解答
帖子发表于 : 2012-07-16 10:10 
离线
顶级用户

关注按钮

注册: 2011-05-15 08:39
最近: 2014-04-16 11:54
拥有: 12,502.00 安全币

奖励: 28127 安全币
在线: 14420 点
帖子: 1085
antji 写道:
学习了,不过觉得Virtual Password 好像有点麻烦,实际用处大么

说明你还没仔细看那几篇文章啊,哈哈~~

其实我也没仔细看,不过看到了一点就是“hash”。简单来讲,个人理解就是virtual password正如问题所言,是基于password派生出的。

记得有个“零知识认证”,就是在不提供密码本身的情况下还可以验证用户身份。

例如,密码存储在数据库中的形式是md5,验证用户身份时候,就是验证用户提交的密码md5值做对比。

同时,md5形式的存储还能有效避免数据库泄露后的后续影响。

再比如,现在很流行第三方认证,新浪微博的授权码,个人理解都是virtual password应用的例子。

你说有没有用啊? :mrgreen:


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: AI0课后习题的第一道就看不明白,求解答
帖子发表于 : 2012-07-16 13:40 
离线
中级用户

注册: 2008-03-27 10:30
最近: 2016-01-28 13:27
拥有: 1,556.80 安全币

奖励: 48 安全币
在线: 2122 点
帖子: 66
phoenix-- 写道:
antji 写道:
学习了,不过觉得Virtual Password 好像有点麻烦,实际用处大么

说明你还没仔细看那几篇文章啊,哈哈~~

其实我也没仔细看,不过看到了一点就是“hash”。简单来讲,个人理解就是virtual password正如问题所言,是基于password派生出的。

记得有个“零知识认证”,就是在不提供密码本身的情况下还可以验证用户身份。

例如,密码存储在数据库中的形式是md5,验证用户身份时候,就是验证用户提交的密码md5值做对比。

同时,md5形式的存储还能有效避免数据库泄露后的后续影响。

再比如,现在很流行第三方认证,新浪微博的授权码,个人理解都是virtual password应用的例子。

你说有没有用啊? :mrgreen:



passphrase一般译为“口令短语、密码短语”之类,通常为一个短语或者一句话,“A passphrase is a sequence of characters that is longer than a password (thus a “phrase”) and, in some cases, takes the place of a password during an authentication process. ”

采用passphrase的好处是容易记忆,因为就是一个短语或者一句话而已。同时,有相关的软件或应用再将passphrase转换为Virtual password,这时候,Virtual password的长度和格式就可以根据此软件或应用设置的规则转换成非常复杂、比较长(靠人是很难记住的),然后,Virtual password再用于应用之间的认证。所以,如果想crack这个应用,需要猜测Virtual password而不是passphrase,从而提高认证强度。

将passphrase转换成Virtual password可以采用hash或其它密码技术,但是并不能认为hash值就是Virtual password,我的理解,所谓称之为Virtual password是表示由软件或应用(如PGP)衍生或派生出另外不同于用户输入的passphrase,而这个Virtual password用于真正的认证。

第三方认证之类应该是采用XML技术的所谓信任联盟,类似于SSO的延展。


--------本帖迄今已累计获得50安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: AI0课后习题的第一道就看不明白,求解答
帖子发表于 : 2012-07-16 14:59 
离线
顶级用户

关注按钮

注册: 2011-05-15 08:39
最近: 2014-04-16 11:54
拥有: 12,502.00 安全币

奖励: 28127 安全币
在线: 14420 点
帖子: 1085
cfh 写道:
passphrase一般译为“口令短语、密码短语”之类,通常为一个短语或者一句话,“A passphrase is a sequence of characters that is longer than a password (thus a “phrase”) and, in some cases, takes the place of a password during an authentication process. ”

采用passphrase的好处是容易记忆,因为就是一个短语或者一句话而已。同时,有相关的软件或应用再将passphrase转换为Virtual password,这时候,Virtual password的长度和格式就可以根据此软件或应用设置的规则转换成非常复杂、比较长(靠人是很难记住的),然后,Virtual password再用于应用之间的认证。所以,如果想crack这个应用,需要猜测Virtual password而不是passphrase,从而提高认证强度。

将passphrase转换成Virtual password可以采用hash或其它密码技术,但是并不能认为hash值就是Virtual password,我的理解,所谓称之为Virtual password是表示由软件或应用(如PGP)衍生或派生出另外不同于用户输入的passphrase,而这个Virtual password用于真正的认证。

第三方认证之类应该是采用XML技术的所谓信任联盟,类似于SSO的延展。


嗯,前面理解有问题。第三方认证的确不是的Virtual password的应用案例,多谢指点


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: AI0课后习题的第一道就看不明白,求解答
帖子发表于 : 2012-07-16 16:47 
离线
中级用户

关注按钮

注册: 2010-05-28 16:55
最近: 2017-07-04 14:17
拥有: 829.00 安全币

奖励: 136 安全币
在线: 3309 点
帖子: 80
地址: 北京
phoenix-- 写道:
昨天做了那21道题,第一遍对了8道,第二遍对了14道,慢慢来了~

悲催的光盘找不到了,不知有没有人可以分享下光盘内容?谢谢!


需要哪个光盘,小弟上周买了CISSP 第五版,附带光盘,英文的,是这个么?
如果需要,请私信我。


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: AI0课后习题的第一道就看不明白,求解答
帖子发表于 : 2012-07-16 17:24 
离线
顶级用户

关注按钮

注册: 2011-05-15 08:39
最近: 2014-04-16 11:54
拥有: 12,502.00 安全币

奖励: 28127 安全币
在线: 14420 点
帖子: 1085
long_323 写道:
phoenix-- 写道:
昨天做了那21道题,第一遍对了8道,第二遍对了14道,慢慢来了~

悲催的光盘找不到了,不知有没有人可以分享下光盘内容?谢谢!


需要哪个光盘,小弟上周买了CISSP 第五版,附带光盘,英文的,是这个么?
如果需要,请私信我。


就是这个啊,我前段时间买的。我私信你,谢谢了!


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: AI0课后习题的第一道就看不明白,求解答
帖子发表于 : 2012-08-21 11:03 
离线
新手

注册: 2008-06-05 11:59
最近: 2013-03-04 16:10
拥有: 56.70 安全币

奖励: 0 安全币
在线: 455 点
帖子: 10
理解


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: AI0课后习题的第一道就看不明白,求解答
帖子发表于 : 2013-03-16 20:17 
离线
中级用户

注册: 2008-06-06 13:10
最近: 2013-03-16 20:46
拥有: 1,132.20 安全币

奖励: 43 安全币
在线: 392 点
帖子: 65
考核的是virtual password的新概念,google一下就出来了,这个只能是猜


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: AI0课后习题的第一道就看不明白,求解答
帖子发表于 : 2013-03-17 22:27 
离线
中级用户

关注按钮

注册: 2011-08-31 07:42
最近: 2016-04-23 20:14
拥有: 1,650.00 安全币

奖励: 9 安全币
在线: 4384 点
帖子: 133
这个在正文里面不是提到了吗?


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 12 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012