1、竊聽
入侵者搭線竊聽，試圖從正在進行的通信中獲得有用的信息。

2、重放
入侵者記錄過去通信中的消息并在以后的通信中重放它們。

3、中間人攻擊
入侵攔截各主體之間的消息，并用自己的消息來取代它們。在向服務器發(fā)送的消息中他假冒用戶的身份，同樣，在向用戶發(fā)送的消息中他假冒服務器的身份。

4、口令猜測攻擊
假設(shè)入侵者擁有一個相對較小的口令字典，其中包含了許多普通的口令。利用該口令字典，入侵者主要用以下兩種方法進行攻擊，它們是：

(a) 離線攻擊
入侵者記錄過去的通信，然后遍歷口令字典，查找與所記錄的通信相一致的口令。如果發(fā)現(xiàn)了這樣的口令，那么入侵者就能夠斷定這是某個用戶的口令。

(b) 在線攻擊
入侵者重復地從口令字典中選取口令并用它來假冒合法用戶。如果假冒失敗了，入侵者就把這個口令從口令字典中刪除，再用其它的口令進行嘗試。在實踐中，防止這種在線攻擊的標準方法是限制口令到期之前允許用戶登錄失敗的次數(shù)，或降低允許用戶登錄的頻率。

5、內(nèi)部人員輔助攻擊
很多時候入侵者可能得到內(nèi)部人員的幫助進行攻擊。實際上，入侵者往往就是系統(tǒng)中的一個用戶，因此我們應該考慮到這種可能性，即入侵者擁有自己的賬戶及相應的合法口令。我們應該確保在這種情況下，協(xié)議能夠防止入侵者用合法的賬戶來攻擊別人的賬戶。

6、秘密揭露
入侵者可能會偶爾得到應該被參與協(xié)議的主體保持為秘密的敏感數(shù)據(jù)（如當服務器或用戶被損害時）。在這種情況下，協(xié)議的目標就是使得密鑰或文件的泄露對整個系統(tǒng)的影響最小化。特別是，在口令機制的環(huán)境中，我們需要考慮泄露的密鑰對導出的會話密鑰（反之亦然）的影響以及損害口令文件或服務器密鑰所產(chǎn)生的影響。

轉(zhuǎn)載于:https://www.cnblogs.com/youwang/archive/2011/12/22/2298605.html

總結(jié)

以上是生活随笔為你收集整理的对口令协议的几种攻击方式的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。