腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
3
回答
完全控制密码学与依赖外部证书
我有一个问题,关于拥有完全控制的密码学,你将使用在您自己的应用程序与依赖于外部实体,如认证机构? 每种选择的利弊是什么?
浏览 0
提问于2014-09-15
得票数 -1
回答已采纳
2
回答
是否有CISSP的密码认证变体?
是否有密码认证,CISSP (认证信息系统安全专业)的变体?就像CISSP考试,但只适用于密码学?
浏览 0
提问于2013-07-02
得票数 1
3
回答
通讯安全: Fiddler拦截我的谈话。我如何保护我的应用程序?
、
、
、
我建立了一个GData应用程序,我发送我的谷歌凭证使用我的帐户。可以很容易地拦截我的通信并显示用户名和密码。 有什么办法可以防止窥探眼睛吗?有人可以轻易地泄露我的密码如果不..。 POST https://www.google.com/accounts/ClientLogin HTTP/1.1 Content-Type: application/x-www-form-urlencoded Host: www.google.com Content-Length: 109 Expect: 100-continue Connection: Keep-Alive Email=xxxxxxxxxx%4
浏览 0
提问于2012-03-05
得票数 1
回答已采纳
2
回答
“可信设备”本身就是一个因素吗?
受其他地方讨论的启发,我一直在想,在多因素认证中,“可信设备”的概念是否被认为是一种独立的因素? 给定的上下文是移动应用程序已登录到需要身份验证的服务。登录后,该服务将从现在起信任该设备。移动应用程序现在可以使用设备自己的身份验证方法(密码、密码、指纹、人脸识别)来验证应用程序的使用。 “可信设备”与指纹的结合是否被认为是一种多因素认证?
浏览 0
提问于2022-03-24
得票数 3
2
回答
RSA类似密钥的浏览器认证可行吗?
、
、
我发现现在基于密码的认证已经不受欢迎了,互联网正朝着基于RSA密钥的认证方向发展。 鉴于这一事实,我想知道是否会有一个真正的好处,广泛使用它的常规网站?我看到的用法如下,它与您通常所期望的完全相同: 当登录到web资源时,用户的浏览器会生成公共-私有对,以及她/他愿意提供给这个密钥的范围(默认情况下不是root/admin )。 浏览器加密私钥,用户将公钥与web资源通信。 对于所有其他请求,由于浏览器中存储的私钥,用户将自动登录。注意,用户也可以(应该)用联邦配置文件登录(登录),并且只有这个方法才能提供root/admin-like作用域。如果密钥对被破坏,此root用户将能够撤销它们。
浏览 0
提问于2018-08-16
得票数 3
1
回答
忘记了android密钥商店,但我知道它的所有细节和密码
、
我意外地丢失了我用来在商店启动应用程序的密钥库我知道我在上面写的所有详细信息和密码,n我使用keytool.exe从我上传到市场的认证APK中获取证书详细信息,在认证之前,我向我显示了指纹,序列号和我创建PC应用程序的日期,以使pc时间冻结同时我创建了旧的密钥,并创建了另一个密钥库,现在日期和其他信息相同,但每次我创建新的密钥时,序列号n指纹总是不同。我得到了一个解决方案,或者他们在什么基础上为密钥提供了这些详细信息谢谢
浏览 0
提问于2013-01-10
得票数 0
回答已采纳
1
回答
如何禁止网站要求认证java (更新后)
、
在Internet Explorer中,只要站点打开applet,就会使用java。如果java没有认证,网站会要求认证。问题是,每当java更新时,网站都会要求再次验证它。有没有什么方法可以让我们只认证java一次,并且如果java更新了,就不需要再认证一次。
浏览 5
提问于2017-09-14
得票数 0
2
回答
受支持的WCF身份验证凭据的相对优点和适当方案的比较
、
、
、
、
我试图为WCF服务选择正确的身份验证机制。解释了所支持的凭据是什么--我只是不明白如何在它们之间做出决定。 请有人解释一下每种认证选项何时适合使用,以及每种认证选项的优缺点。 供参考的身份验证选项如下: 无 基础知识 摘要 Ntlm 视窗 证书 密码 注意:我已经看过一篇很棒的MSDN文章,但是我再也找不到它了。
浏览 2
提问于2010-12-02
得票数 0
回答已采纳
1
回答
什么是ServicePointManager.ServerCertificateValidationCallback?
、
、
、
我在我的网站上使用一个网络服务。提供程序提供了一个示例代码,代码中有如下一行: // For Ignore SSL Error ServicePointManager.ServerCertificateValidationCallback = delegate(object s, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors) { return true; }; web服务将用户链接到自己的页面,然后返回到我的网站。它使用https。 这个代码应用程序是什么?是因为在用户的网络浏览器中
浏览 1
提问于2014-10-15
得票数 4
1
回答
WCF中的自定义双因素身份验证
、
、
、
、
是否可以在WCF中实现双因素(或多因素)自定义身份验证?例如,我希望使用两种不同的凭据类型对客户机进行身份验证: 1)用户输入登录和密码 2) WCF服务验证登录+密码 3)如果前面的步骤成功,服务器将返回秘密查询(或OTP密码)。 4)用户为接收到的查询输入答案并将其发送给服务器 5)如果答案正确,则在服务器上对用户进行身份验证。他可以执行服务器方法。 经过身份验证的用户具有安全令牌。在下一个服务器调用中,客户端只发送没有显式凭据的服务器安全令牌。 我在msdn - 上只找到了一个关于它的参考资料。 在.NET Framework3.5中,客户端消息可以包含给定类型的多个令牌,以及不同类型的
浏览 4
提问于2011-11-30
得票数 2
1
回答
嵌入式应用程序代码签名证书
、
、
、
预览 我正在开发一个安全的嵌入式应用程序,它接收一个代码,使用RSA-2048签名,并在使用预先编程的公钥激活它之前验证它的签名。我想使用代码签名认证来验证创建和签名此代码的实体。我在网上做了一项研究,没有发现任何关于使用这些证书的明确流程,我还有以下问题,没有一个明确的答案。 问题 1.假设CA会为代码颁发这样的证书,是否将正在签署证书的公钥附加到它?如果是这样的话,如何防止攻击者更改此证书并使用自己的密钥对其进行签名?如果不是,认证证书的公钥将来自何处? 2.我是否必须解析嵌入式应用程序内部的证书? 3.我在哪里可以得到这类证书的例子?
浏览 0
提问于2017-06-01
得票数 0
回答已采纳
3
回答
Tomcat 6 Ssl和表单身份验证同时进行
、
、
、
在Tomcat 6.xxx中可以同时使用两种身份验证方法吗? 故事:现在我的应用程序运行在端口80和443上。在443连接器中有clientAuth="want“参数。如果客户端超过80,则不需要证书。但是当客户端超过443并且客户端在读卡器中有智能卡时,即使客户端不想登录,证书也会被自动询问。 对于使用用户证书登录,我有FormFallBack认证器,这意味着如果客户端没有发送证书(他的读卡器中没有智能卡)或者认证器认证失败,认证器直接转到表单,他可以使用密码和用户名登录。我的英语不是很好,所以下面是类似系统的更好的概述: 但是,如果浏览器多次询问证书,则询问用户证书的过程对用户来说
浏览 0
提问于2012-05-30
得票数 2
1
回答
深入信息安全领域?
对于一个有相当多发展(主要是网络)背景的应届毕业生来说,进入安全领域最简单的方法是什么? 认证是必要的吗?有可能让实习生做这种事吗? 谢谢
浏览 0
提问于2011-05-02
得票数 2
回答已采纳
1
回答
颤振销/密码/模式集成
、
我已经通过了local_auth包,它运行良好,但它没有使用密码或引脚进行身份验证的选项。帮助感激! String _authorized = 'Not Authorized';//Start Future<Null> _authenticate() async { final LocalAuthentication auth = new LocalAuthentication(); bool authenticated = false; try { authenticated = await auth.authentica
浏览 1
提问于2018-08-27
得票数 12
回答已采纳
2
回答
Web证书失效--您可能正在连接到假装为[网站名称]的网站。
、
、
、
最近,当试图登录到Facebook时,此通知开始显示: 📷 起初,我忽略了它(通过按Continue),但是每次我浏览网站时,它都会弹出! 我想这可能是ISP申请的假认证,所以我更改了我的帐户密码,并开始选择Cancel每次弹出时,我希望页面不会加载!但是什么也没有发生,相反,网页继续正常加载吗? 有人能向我解释一下发生了什么,并向我解释清楚整个想法吗? 消息再次显示,下面是Show Certificate详细信息: 📷 📷 📷
浏览 0
提问于2011-08-31
得票数 4
回答已采纳
2
回答
如何在WCF客户端应用程序中保护敏感数据?
、
、
我有WCF web服务和客户端调用此服务,这个客户端将部署在许多地方。我必须对每个客户进行唯一的认证和授权。因此,每个位置都将有其独特的用户名和密码。 现在我的问题是 如何唯一地识别每个客户端? 如何在客户端存储一些敏感数据? 我想了几个方法, 使用证书标识客户端。我必须生成和部署证书。 在服务器端有一个活动目录,让每个客户端使用一个windows用户帐户。 加密用户名和密码,并将它们存储在配置文件中。我相信使用aspnet_regiis加密配置文件不会对我有帮助,因为任何人都可以解密它,如果他们能够访问机器。
浏览 2
提问于2011-02-07
得票数 4
回答已采纳
2
回答
基于802.1xPEAP的证书验证
、
、
、
、
我最近了解了WPA的工作原理。如果我理解正确的话,四路握手使协议能够确保彼此拥有PMK (以及相应的PSK),而无需发送PMK/PSK。这样它就不会受到中间人的攻击。 我的问题是,在WPA-企业的情况下,如何确保相互认证?我正在我的家庭网络上使用FreeRadius和PEAP运行802.1x (这只是我的业余爱好项目),而且它可以工作,但我不确定我是否理解它是如何工作的。 我使用PEAP,因此客户端可以使用用户名和密码进行身份验证。但是,客户是否确保他们与之交谈的WiFi网络不是中间人?身份验证服务器具有SSL/TLS证书,但它是自签名的。用于对服务器证书进行签名的根CA证书不应该安装在客户机
浏览 0
提问于2014-08-11
得票数 4
回答已采纳
2
回答
ISO 27001不遵守
、
比如说,一家小公司刚刚获得了ISO 27001认证。如果在其中一次审计中发现公司没有遵循这些原则,会发生什么?公司是否必须经过某种警告程序?我基本上想知道,是否有国际标准化组织27001认证被撤销的例子,以及如何?
浏览 0
提问于2013-09-10
得票数 2
回答已采纳
1
回答
Windows标识基金会WCF服务证书
、
、
我最近使用WIF针对STS设置了WCF服务,我试图了解所需的证书及其影响,我有一个针对IIS的证书,允许HTTPS通信,但是在STS配置中,还有对另外两个证书的引用。例如: <appSettings> <add key="SigningCertificateName" value="CN=STSTestCert"/> <add key="EncryptingCertificateName" value="CN=DefaultApplicationCertificate"/> </a
浏览 0
提问于2011-04-22
得票数 2
回答已采纳
1
回答
免费在线/离线信息安全课程/认证培训
是否有任何网站提供免费的在线/离线信息安全课程/培训认证?
浏览 0
提问于2010-07-18
得票数 3
回答已采纳
1
回答
是否有AICPA授予合格审计师的证书?
、
我们正在雇用一名审计师,以成为符合SOC 2,并想知道是否有某种正式的审计师上市,或至少有认证或AICPA的认可,我们应该寻找。
浏览 0
提问于2016-11-08
得票数 6
1
回答
保护Java应用程序
、
、
、
我想保护我的web应用程序,但我想知道我应该使用哪种安全性。 例如,对我来说,使用SSL认证还是编写自己的JCA (Java密码体系结构服务)更好? 哪一个给我什么,他们的利弊是什么? 如果使用SSL更好,那么哪个更适合使用?DV,OV (对最终用户有什么不同)或EV? 谢谢
浏览 2
提问于2017-05-05
得票数 0
回答已采纳
1
回答
腾讯云申请的https证书如何开启双向认证?
、
、
、
、
在腾讯云申请了https的ca证书,但是不熟文档没有提怎么开启双向认证,也没有客户端证书,麻烦问一下,使用腾讯云的HTTPS证书怎么实现HTTPS的双向认证?
浏览 748
提问于2019-07-01
1
回答
apache可以使用密钥代理来存储SSL的私钥吗?
、
、
、
要使apache中的mod_ssl工作,您需要在服务器上使用您的RSA私钥。如果密钥受到密码保护,那么只要重新启动apache,就必须输入密码。这里有SSLPassPhraseDialog,所以您可以存储加密的密钥并让程序将短语传递给它,但这并不比保持未加密的密钥更安全。 我想知道apache是否支持,或者可以使用密钥代理来支持需要私钥的操作,就像用于openssh的ssh-agent是如何工作的一样。这样,每当服务器本身重新启动时,我只需要将密码输入到密钥(假设代理在正常操作中不会以某种方式死亡)。 我意识到密钥存储在代理内部的内存中,并可能从内存中获得,但很难做到。另外,如果代理实际上是从
浏览 0
提问于2011-11-09
得票数 4
回答已采纳
2
回答
Web用户身份验证替代方案
、
我正在寻找一种替代的典型和主流的用户名/电子邮件密码认证的用户为基础的网站。我想知道有没有其他方法可以替代它?
浏览 0
提问于2013-02-22
得票数 0
1
回答
可以使用证书运行pptpd吗?推荐吗?
、
、
、
、
为了保证我的互联网体验,我想使用amazon EC2在一种按需方式上建立一个vpn。 我的主要客户是运行windows 7专业。(也许更多的客户将是我的android手机和一款软呢帽上网本。)VPN应该是linux机器,我倾向于debian/分-os。这台机器专门用于这个目的。 我找到了在vpn上设置pptpd的几种方法,但只使用用户名/密码身份验证。至少,这个密码存储在配置上的明文中,这让我头疼。使用KeePass使用安全密码没有问题(我习惯使用它),但我不喜欢存储明文密码,即使它只是为了这个目的。 我更喜欢使用存储在我的客户(S)的认证。所以我的问题是 pptpd是一种推荐技术吗?如果没有
浏览 0
提问于2014-04-03
得票数 0
回答已采纳
1
回答
多租户认证的设计
、
我已开始设计多租户制度,并已阅读了这篇文章: 无论如何,我有几个关于身份验证的问题。例如,我们需要支持需要独立数据库的客户。更准确地说,客户使用单独的LDAP(每个租户LDAP)。我无法解决的问题是,身份验证框架需要在身份验证之前了解租户,以便根据适当的LDAP进行身份验证。用户如何在身份验证期间选择租户? 表格认证: 我们是否应该开发一个包含3个输入字段的特殊表单登录:用户名、密码和租户? 我们应该向用户显示所有租户的列表吗?这是信息泄露,用户可以在部署中看到所有租户的列表。它应该是自由文本存档吗?在这种情况下,它容易出错。 其他类型的认证: 如果使用基本身份验证,如何发送租户信息?消化认
浏览 0
提问于2014-03-09
得票数 8
回答已采纳
1
回答
SSL证书更改e private.key
、
、
在以下情况下,我需要帮助: 我的公司更新了SSL证书,我需要在服务器IIS中更改它。认证者发送的文件是一个.crt,由于服务器是windows,因此我认为,到目前为止,它必须是一个.pfx,因此我想使用下面的命令通过openssl进行转换: openssl pkcs12 -export-out certificate.pfx -inkey rsaprivate.key -in certificate.crt -certfile fileca.crt 问题是,我没有.key文件与认证者联系,她告诉说,由于这是更新,.key在第一次安装中使用的相同,只是第一次安装的团队已经不在公司,而且我们没有在
浏览 2
提问于2022-09-21
得票数 0
4
回答
密码策略:随机生成密码/让用户选择密码
、
、
我目前正在考虑一个新的密码政策。最初我希望用户选择一个X位长的密码,其中包含数字,特殊字符,小写和大写,.但后来我在一家朋友公司做了一些审计。在那里他们有这样的政策。我从他们的Active Directory中提取密码散列,让john使用损坏的规则破解密码。当我选择使用一个为公司及其员工量身定做的单词列表时,许多密码都被破解了。他们都使用有效的密码根据政策,但使用一个名字,出生年份和随机的特殊字符在最后不是那么安全。 现在,我正在考虑向每个用户发出一个他无法更改的随机密码。密码只有10位长,但与我认为安全得多的人没有任何关系。你觉得这是个很好的解决方案还是我遗漏了什么? 更新:双因素认证通常是
浏览 0
提问于2015-10-19
得票数 7
回答已采纳
1
回答
禁用JSSE中的非DHE和非ECDHE密码
、
、
、
、
我有一台使用Java 8在Windows上运行Jenkins的温斯顿服务器,我试图确保如果客户端请求未能指定首选密码,服务器将首选Diffie-Hellman密码。与Tomcat不同的是,温斯顿似乎没有办法指定一个密码列表来订购它们。所以,我想让非DHE和非ECDHE密码失效。通过指定最小密钥大小和删除java.security算法,我已经能够通过修改MD2文件的禁用算法列表来删除其中的一些算法,但不能禁用所有这些算法。OpenSSL将剩余的不需要的密码算法识别为: AES128-GCM-SHA256 AES128-SHA256 AES128-SHA EDH-RSA-DES-CBC3-
浏览 3
提问于2017-01-16
得票数 1
3
回答
服务器到服务器集成(跨internet)认证的标准方法是什么?
假设我在不同的数据中心有两个服务器。他们需要互相交谈,如何保护安全?TLS是必须的。对于身份验证,我们关注的是使用凭据,因为如果它被盗,任何人都可以使用它进行集成调用。然后,我们开始考虑使用基于客户端证书的互认证。不过,我的理解是客户证书也可以被盗。那么它真的比用户名/密码强得多吗?此外,如果我们限制IP,会不会使集成更加安全? 期待你的建议。 谢谢!
浏览 0
提问于2017-08-25
得票数 3
5
回答
角色与基于身份的认证?有什么关系?
、
、
基于角色的认证和基于身份的认证之间有什么区别?如果一个系统只使用密码机制来验证操作符(对于管理员和用户来说是不同的PIN ),那么就说它使用了“标识”或“基于角色的”身份验证? 系统提示操作员输入密码(不询问用户名),然后根据输入的密码(用户或管理员)为这两个角色提供不同的服务,如果密码不匹配,则不提供服务。 这个机制是否真的可以被认为是身份认证,因为身份认证只能基于对PIN的知识进行认证? 此外,FIPS140安全标准在第2级使用“基于角色的身份验证”,对于第3级使用“基于身份的身份验证”(http://en.wikipedia.org/wiki/FIPS_140)。在FIPS140标准中,
浏览 0
提问于2013-06-21
得票数 6
2
回答
AppSec开发人员认证
、
、
我注意到认证似乎是IT安全专业人员(非开发)的一个重要部分,但并没有看到软件开发工程师对专注于应用程序安全性或构建安全软件的软件开发工程师给予/要求同样的关注。 我错了吗只是没看到而已?还是说devs和一般it专业人员(网络工程师、管理员等)不那么需要安全认证? 我想最终我的问题是,专门研究软件安全( SDLC )的软件开发工程师是否需要认证,主要是应用程序安全(对网络安全有一些/很少的暗示)?
浏览 0
提问于2018-03-25
得票数 3
回答已采纳
1
回答
如何使用libcurl在客户端应用程序中缓存SSL客户端证书密码
、
、
、
、
我们有一个(多os)应用程序,它使用libcurl与https服务器通信,并使用SSL客户端认证。当客户端认证受到密码保护时,应用程序必须要求用户输入密码。应用程序向服务器发送数百个不同的https请求,因此我们不能要求用户每次创建新连接时输入密码。现在,我们只需在应用程序启动时提示用户输入一次密码,然后通过"CURLOPT_KEYPASSWD“选项将密码设置为curllib。但我担心恶意用户很容易入侵正在运行的进程并读取客户端认证密码。我是否可以缓存客户端认证密码,同时防止从内存中轻松读取?
浏览 2
提问于2009-12-04
得票数 2
2
回答
使用管理员用户权限执行漏洞评估测试是否有意义?
、
我们有一个管理门户网站,我们使用它来配置和监视我们的系统,我们最近让一位安全顾问扫描我们的服务器上的漏洞。我们的管理门户是通过用户名和密码认证以及双因素身份验证来保护的。 问题是,安全顾问正在对获得完全授权的完全身份验证的用户进行漏洞评估和渗透测试。这是有意义的,但由于用户已经完全通过身份验证,扫描正在改变配置,以至于系统将不再运行。 所以,用这种方式做扫描对吗?
浏览 0
提问于2021-05-09
得票数 0
2
回答
用于身份验证的Apache客户端证书
、
、
、
我想通过一个API公开一个服务,其中包含了使用PHP/MySQL进行身份验证的两个因素。一个因素是简单的用户名和密码。对于另一个因素,我尝试使用交互式TLS,其中客户端证书与用户名匹配。我打算使用我与Apache在CentOS盒上设置的CA中的自签名证书,并通过安全通道向客户颁发客户证书以及私钥。 我找到了一些关于如何使用SSL证书设置用户身份验证的不错文章。到目前为止我发现的最好的是在下面。 但是,似乎有一个漏洞,这和其他的文章在解释一些东西给我。我对这种工作的设想是,当客户端发出POST请求以及用户名和密码时,还包括一个由颁发给用户的私钥签名的证书。然后,这个签名可以由公钥解密,以确认私
浏览 0
提问于2018-05-10
得票数 0
回答已采纳
1
回答
spring安全中的客户证书身份验证
、
、
、
我需要在Glassfish 3中配置‘客户端证书身份验证’。我尝试了许多场景,但无法配置。要求是-导入.cer文件的用户可以单独访问应用程序。 因此,我们需要以这样一种方式进行配置,即需要验证上传到浏览器(客户端试图通过该浏览器访问应用程序)的.cer文件。 证书文件通过验证后,我们需要显示登录屏幕(form- login )。此外,我们验证用户的用户名/密码。 我尝试了几种配置(在applicationCOntext-security.xml文件中),但都是徒劳的。 谁能告诉我如何配置spring安全性,使客户端认证(先完成),然后是表单登录(下一步完成)?
浏览 6
提问于2012-06-13
得票数 3
回答已采纳
1
回答
ECDHE_RSA密码中RSA如何对ECDHE进行签名
、
、
、
关于使用ECDHE作为密钥交换和RSA作为身份验证的密码: 这两种算法究竟是如何一起工作的,ECDHE进程是否被RSA公钥加密?DH参数是什么?请解释这个过程作为一个整体,我有麻烦连接所有部分的认证和密钥交换过程。ECDHE是仅用于PFS (前向保密),还是有其他好处?
浏览 0
提问于2015-05-27
得票数 6
回答已采纳
3
回答
如果在SSL上完成签名消息传递,密码身份验证会更糟吗?
、
、
让我们有一个公共API: 基于HTTP的 通过SSL 没有浏览器,只有定制的书面程序之间的连接。 我想到的第一个认证方案是.客户端用私钥签名消息,服务器通过公钥确认消息。看起来不错。 但在这种情况下,为什么不只是使用简单的登录/密码身份验证呢?我知道这不是一个聪明的想法,通过电线发送秘密信息,但是如果一切都是通过安全的HTTPS来完成的话,这真的很糟糕吗?这种方法的缺点是什么?
浏览 0
提问于2013-02-20
得票数 2
回答已采纳
1
回答
这个HTTPS认证协议安全吗?
、
、
、
、
我们目前正在设计一个需要认证协议的智能手机应用程序。我们将对所有消息使用HTTPS。其想法如下: 客户端与服务器联系,并使用他的用户/密码组合进行身份验证。 服务器将使用存储在数据库中的ramdom生成令牌进行应答。 要联系服务器,客户端现在使用他/她的用户/令牌组合。 在他发送的每条消息中,服务器都有一定的概率重新生成它在发送的消息中包含的新令牌。 问题是:使用这个协议我们会有安全问题吗? 注意:密码和令牌存储在数据库中。
浏览 1
提问于2013-08-26
得票数 0
回答已采纳
2
回答
自签客户证书的风险是什么?
、
我理解用于在服务器上启用HTTPS的自签证书的风险。 然而,我的问题是关于HTTPS客户端证书。 想象一下下面的场景。我希望能够在公共网站上认证一群精通技术的用户,而不需要他们通过OpenID或密码。 首先生成存储在服务器上的自签名根证书。在这个问题的背景下,让我们假设这个根证书将被保护免受黑客攻击。 从这个根证书中,我生成了几个客户端证书,每个用户一个,并以一种安全的方式将.p12文件传输给这些用户。他们将这些证书添加到浏览器中,现在可以进行身份验证。 根证书是否存在自签名的安全问题?这与例如,让我们将派生证书加密为根证书(这是可能的,因为我在服务器上也有私钥)相比有什么不同? 在我看来,就
浏览 0
提问于2017-12-02
得票数 1
1
回答
工业认证问题
我已经研究了一段时间的网络安全行业认证,我正在寻找一些指导/投入的教育,经验和认证的组合最适合在网络安全行业工作。 为了提供一些背景知识,我拥有一所知名的、认可的大学的网络安全硕士学位,并在信息技术相关领域有三年的经验,但不是直接在网络安全方面。这使得由于缺乏直接相关的经验,很难获得具有工作要求的领域和中级行业证书。 在这种情况下,如何进入网络安全行业?
浏览 0
提问于2017-08-09
得票数 1
回答已采纳
4
回答
为什么ssl的密码组包含身份验证算法?
、
、
、
、
SSL的握手应该协商对等端之间的密码组,其中包括认证、密钥交换、加密和摘要算法。但是服务器发送给客户端的X.509证书已经包含了认证算法,那么为什么SSL要再次协商认证算法呢?
浏览 0
提问于2011-08-09
得票数 1
3
回答
自签名证书与证书签名请求有何不同?
、
、
、
、
从wiki页面中获取一个证书签名请求: 在公钥基础设施(PKI)系统中,证书签名请求(也包括CSR或证书请求)是从申请者发送到证书颁发机构以申请数字身份证书的消息。 从wiki页面中获取一个自签证书: 在密码学和计算机安全中,自签名证书是由其身份认证的同一实体签名的身份证书。这个术语与实际执行签名程序的人或组织的身份无关。从技术上讲,自签名证书是用自己的私钥签名的证书. 因此,听起来好像有人会向CA提交一个CSR来获得一个数字身份证书。此数字身份证书可能具有与自签名证书(例如公钥密码标准12格式)相同的格式。 其关键区别在于:自签名证书由拥有私钥的同一方签名,而证书颁发机构在收到证书签名请求时
浏览 0
提问于2017-03-16
得票数 1
1
回答
从apple网站导入配置文件到其他mac
、
、
、
我有一个包含我的苹果配置文件的mac,这个mac“死了”,现在我想与其他mac一起工作,如何导入我的旧配置文件(具有苹果认证)?谢谢。
浏览 1
提问于2012-10-31
得票数 1
回答已采纳
2
回答
IPsec w/RSA有多安全,但没有XAuth用户名/密码?
、
、
、
我正在使用pfSense 2.0,并配置了一个IPsec VPN (它使用浣熊IPsec守护进程)。 我正在使用我的iPhone (iOS 5)连接到VPN。 然而,iPhone不允许保存XAuth用户名和密码。 删除XAuth身份验证(即。只使用RSA证书认证?
浏览 0
提问于2012-01-02
得票数 3
1
回答
使用用户证书而不是仅使用计算机证书有意义吗?
我已经看到用户证书可以像机器证书一样存储在用户的计算机上。 我知道如果用户把他的私钥放在智能卡或USB上,这将是非常安全的,因为它将永远与他在一起,就像在他的钥匙环旁边他的房子和汽车钥匙。因此,用户证书使他能够通过使用安全令牌从任何设备登录到网络。也许这就是用户证书的唯一要点?Idk。 但是,如果您不使用令牌,那么用户证书将安装在用户的计算机上。这比他仅仅使用密码获得网络授权要安全得多。他可以把密码作为记忆的秘密藏在脑子里。但是有了证书,他必须把它储存在电脑上。因此,如果有人可以访问他的电脑,他可以导出私钥。然后,有人可以用他自己的设备,使用证书和私钥,从别人的设备上获得认证。 tl;dr:如
浏览 0
提问于2017-08-08
得票数 0
回答已采纳
5
回答
双因素认证w/证书和用户名和密码?
、
、
示例场景: ActiveSync 认证方法: 基于证书的身份验证和Active域用户名-密码 在设备上加密: 公用钥匙和私钥 广告用户名和密码 问题 如果证书用于反向代理的身份验证,而Outlook使用用户名和密码,这是否被认为是双因素身份验证?如果证书公钥是Active用户帐户的一部分,它是否有用?支持或反对此实现的论据是什么? 备注: 这种设计不是更不安全吗(因为AD域用户名和密码不必要地存储在设备上)? 我在那里找不到任何文件,但我确信人们普遍认为,将AD域名&密码存储在设备上有更多的潜在威胁,而仅仅是一个证书公钥/私钥对。 是否有一个选项w/Exchange,其中为Active
浏览 0
提问于2012-05-15
得票数 7
5
回答
硬件令牌与基于指纹的软件令牌
、
、
我可以在两家银行的认证程序之间做出选择,我需要帮助选择最安全和最方便的选项。 选项“硬件令牌”:通过用户名/密码对web平台进行身份验证,但事务是通过PIN和一次性硬件令牌密钥的组合来执行的。 选项“指纹”:进入web平台的身份验证也是通过用户名/密码完成的,但是事务是通过指纹认证到手机上的软件令牌应用程序并获得一次性令牌密钥来执行的。 我的理解是,硬件令牌选项更安全,因为现在的手机和笔记本电脑很容易被键盘记录和其他类型的软件感染,从而窃听我的密码。然而,指纹认证是一种生物认证形式,据我所知,只能用物理指纹而不是软件来欺骗,因此可能提供相同级别的安全性。 另一个弱点可能是窃取软件令牌种子的风险
浏览 0
提问于2017-11-15
得票数 8
回答已采纳
2
回答
TLS-信道绑定的概念
、
、
、
、
TLS-握手是基于公钥密码体制进行对称密钥交换,pki用于服务器认证,假定用户认证是通过应用层的用户名和密码实现的。当使用信道绑定时,将在较低层绑定Wich身份验证? 在RFC 5929中: 信道绑定的概念允许应用程序通过将较高层的认证绑定到下层的信道来确定一个网络层上的安全信道的两个端点与较高层上的两个端点相同。这允许应用程序将会话保护委托给较低层,这具有不同的性能优势。 信道绑定的优点是什么?有人能简单地解释一下频道绑定吗?也许以通道绑定类型tls-服务器端点为例?
浏览 0
提问于2017-02-19
得票数 7
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
九州量子自研密钥管理系统获得商用密码产品认证证书
东进统一认证平台:电子证照背后的安全守护者
通威荣获TÜV北德海上光伏组件认证证书,领先技术再获权威认证
11月至2020年1月需获SABER认证产品清单
东进技术全周期IoT安全:从理念到落地
热门
标签
更多标签
云服务器
ICP备案
对象存储
实时音视频
云直播
活动推荐
运营活动
广告
关闭
领券