|
Infineon Security Platform 解决方案 |
字典攻击防御措施
 |
注:
|
Security Platform 解决方案使用下述措施抵御字典攻击:
- 如果有多次失败的验证尝试,Security Platform 将会被临时锁定, 直到下一次系统重新启动。 这样,Security Platform 所有者能在再次启用 Security Platform 之前针对攻击采取额外措施。
- 另外,锁定时间是有效的: 在一段时间内,更多的验证尝试将被拒绝。 每当验证尝试再次失败,防御级别就会增加,这意味着锁定时间将双倍增加。
- 如果在某时间段内没有发生更多失败的验证尝试,防御级别会再次下降。
- Security Platform 所有者可以重置防御级别。
下面的图描述了这些措施。
随着多次验证尝试的失败,防御级别会增加
该图表明如果 Security Platform 不被临时禁用,这些不成功的验证尝试是如何引起防御级别和锁定时间的增加的。
|
||||||||||||
在该例中,防御临界值是第五次验证尝试。 攻击者继续试图进行验证。也就是说当当前状态的锁定时间一旦过去后,防御级别就增加。
避免通过临时禁用 Security Platform 而造成防御级别的增加
为了阻止在早期阶段的更多攻击和避免长时期的锁定时间,一旦超越防御临界值,Security Platform 就会被临时禁用。
|
|||||||||||||||
在该例中,即使锁定时间已过,Security Platform 也不会再受攻击。 只有等到下一次系统重新启动后,Security Platform 才能启用。
防御级别自动降低
该图表明如果没有更多失败的验证尝试,在一段时间后,防御级别再次降低。
|
||||||||||||||||||||
在该例中,您可以看出因为失败的验证尝试,而引起的防御级别的增加和锁定时间(红色)。 假定系统在一段短期时间后再重新启动(灰色)。 当自动减少时间过去后,防御级别自动降低。注意,对于低的防御级别,自动减少时间要比锁定时间高得多。
|
注:
|
防御级别重置
该图表明防御级别重置是与 Security Platform 所有者一起完成的。
|
||||||||||||||||||||
与前面的图类似,您能看出直到下一次重新启动(灰色)前,防御级别的增加,锁定时间(红色)和系统临时禁用。 既然 Security Platform 所有者不想等待增加的防御级别自动降低,在此假设他重置防御级别。
典型的字典攻击防御参数
下表表明一些字典攻击防御参数对 Infineon Trusted Platform Module 来说是很典型的。这些列出的值可能会与您的 Trusted Platform Module 不一样。
|
密钥鉴权(例如用于 Security Platform 用户鉴权)允许的尝试次数 |
5 | 在 6 小时之内达到 5 次失败的尝试后,采取字典攻击防御措施(参见策略配置字典攻击临界值和配置字典攻击防御设置)。 |
|
对 Security Platform 用户验证来说,所允许的尝试 |
3 | 在 6 小时之内达到 3 次失败的尝试后,采取字典攻击防御措施(参见策略配置字典攻击临界值和配置字典攻击防御设置)。 |
|
数据鉴权(例如由 Windows BitLocker 和 PIN 一起使用)允许的尝试次数 |
10 | 6 小时内 10 次失败尝试后,将采取字典攻击防御措施(参见策略配置字典攻击临界值和配置字典攻击防御设置)。 |
|
最小锁定时间 |
~10 秒 | 在超越临界值后,初始锁定时间是 10 秒。 |
|
最大锁定时间 |
~24 小时 | 最大锁定时间是 24 小时。在超越临界值后,少于 15 次失败的验证尝试时,就会达到限度。 |
|
防御级别自动降低时间 |
~6 小时 | 在达到某防御级别后 6 小时,防御级别将自动降低 1。 注意只有在 6 小时之内没有再失败的验证尝试时,该程序才适用。这将会导致防御级别增加 1。 |
万一有真的字典攻击,这些设置会产生高的安全级别。另一方面,偶尔错误的密码输入,会以对用户界面友好的和灵活的方式进行处理。
|
只有在运作系统中,锁定时间和防御级别自动降低时间会消逝。 |
©Infineon Technologies AG