CISSP認(rèn)證教材OSG第9版有增加或者改動的知識點，CISSP認(rèn)證的教材新版知識點可能會在考試中出現(xiàn)，因此我們?yōu)榇蠹疫M(jìn)行了梳理，CISSP認(rèn)證教材OSG第9版新增(改)知識點如下。

D5-身份與訪問管理

1、HOTP、TOTP(p656)

HOTP：散列消息驗證碼 (HMAC)包括一個散列函數(shù)，由基于 HMAC 的一次性密碼(HMACbased One-Time Password，HOTP) 標(biāo)準(zhǔn)用于創(chuàng)建一次性密碼。它通常會創(chuàng)建 6 到 8 個數(shù)字 的 HOTP 值。這類似于令牌創(chuàng)建的異步動態(tài)密碼。HOTP 值在使用前一直有效。 TOTP：基于時間的一次性密碼(Time-based One-Time Password，TOTP)標(biāo)準(zhǔn)類似于 HOTP。 但是，它使用時間戳并在特定時間范圍內(nèi)保持有效，例如 30 秒。如果用戶在時間范圍內(nèi)未 使用 TOTP 密碼，則該密碼將過期。這類似于令牌使用的同步動態(tài)密碼。

2、無密碼身份認(rèn)證(Passwordless Authentication)(p656)

無密碼身份認(rèn)證允許用戶無需輸入密碼(或任何其他記住的秘密)即可登錄系統(tǒng)。例如，許 多智能手機(jī)和平板電腦都支持生物識別認(rèn)證。快速身份識別在線聯(lián)盟(Fast Identity Online， FIDO) 聯(lián)盟是一個開放的行業(yè)協(xié)會，其既定使命是減少對密碼的過度依賴。

3、基于云的聯(lián)合身份管理(Cloud-Based Federation)(p661)

基于云的聯(lián)合身份管理通常使用第三方服務(wù)來共享聯(lián)合身份。一種常見的方法是將用戶的內(nèi) 部登錄 ID 與聯(lián)合身份進(jìn)行匹配。例如，許多企業(yè)在線培訓(xùn)網(wǎng)站使用聯(lián)合 SSO 系統(tǒng)。當(dāng)組 織與在線培訓(xùn)公司協(xié)同員工訪問時，他們也會協(xié)同聯(lián)合身份的詳細(xì)信息。用戶使用他們的正 常登錄 ID 在組織內(nèi)登錄。當(dāng)用戶使用 Web 瀏覽器訪問培訓(xùn)網(wǎng)站時，聯(lián)合身份管理系統(tǒng)使 用他們的登錄 ID 來檢索匹配的聯(lián)合身份。如果找到匹配項，則授權(quán)用戶訪問授予聯(lián)合身份 的網(wǎng)頁。

4、本地聯(lián)合身份管理(On-Premise Federation)(p661)

聯(lián)合身份管理系統(tǒng)可以部署在本地、云端或兩種方式都用的混合模式。作為本地聯(lián)合身份管 理系統(tǒng)的例子，假設(shè)公司 A 與公司 B 合并。兩家公司都有自己的網(wǎng)絡(luò)和 SSO 系統(tǒng)。但是， 管理層希望員工無需登錄兩次即可訪問兩個網(wǎng)絡(luò)中的資源。通過創(chuàng)建本地聯(lián)合身份管理系 統(tǒng)，兩家公司可以共享身份驗證數(shù)據(jù)。該系統(tǒng)允許用戶繼續(xù)正常登錄，但他們也將有權(quán)訪問 其他公司的網(wǎng)絡(luò)資源。本地解決方案為組織提供了最大的控制權(quán)。

5、混合聯(lián)合身份管理 (Hybrid Federation)(p661)

混合聯(lián)合是基于云的解決方案和本地解決方案的組合。比如 公司 A 有一個基于云的聯(lián)合身 份系統(tǒng)，為員工提供在線培訓(xùn)。與公司 B 合并后，他們實施了一個本地解決方案，用于實 現(xiàn)兩家公司共享身份。這種方法不會自動授予公司 B 員工訪問培訓(xùn)站點的權(quán)限。但是，可以 將現(xiàn)有的本地解決方案與培訓(xùn)站點的基于云的解決方案相集成。這為公司 B 的員工創(chuàng)建了 一個混合解決方案，并且與其他聯(lián)合解決方案一樣，為公司 B 的 員工提供了 SSO。

6、即時(Just-in-Time)(p662)

一些聯(lián)合身份解決方案支持即時 (JIT)的配置功能。這些解決方案會自動創(chuàng)建兩個實體之間 的關(guān)系，以便新用戶可以訪問資源。JIT 解決方案無需任何管理員干預(yù)即可創(chuàng)建連接。JIT 系 統(tǒng)通常使用 SAML 來交換所需的數(shù)據(jù)。

7、Mimikatz(708)

Mimikatz 已經(jīng)成為黑客和滲透測試人員使用的流行工具。以下是 Mimikatz 的一些功能： 從內(nèi)存中讀取密碼、提取 Kerberos 票證、提取證書和私鑰、在內(nèi)存中讀取 LM 和 NTLM 密碼哈希、在本地安全授權(quán)子系統(tǒng)服務(wù)(LSASS)中讀取明文密碼、列出正在運行的進(jìn)程。

8、Kerberos 利用攻擊(Kerberos Exploitation Attack)(710)

Microsoft 的 Active Directory 使用 Kerberos 作為主要身份驗證協(xié)議。不幸的是，Kerberos 容易受到使用開源工具(如 Mimikatz)的多種利用攻擊。Kerberos 漏洞利用攻擊包括：超 -哈希傳遞攻擊(Overpass the Hash)、票據(jù)傳遞攻擊(Pass the Ticket)、銀票據(jù)(Silver Ticket)、 金票據(jù)(Golden Ticket)、Kerberos 暴力破解(Kerberos Brute-Force)、ASREPRoast 攻擊、 Kerberoasting 攻擊。

關(guān)注中培偉業(yè)，了解更多CISSP相關(guān)信息。