CISSP認證教材OSG第9版有增加或者改動的知識點，CISSP認證的教材新版知識點可能會在考試中出現，因此我們為大家進行了梳理，CISSP認證教材OSG第9版新增(改)知識點如下。

D5-身份與訪問管理

1、HOTP、TOTP(p656)

HOTP：散列消息驗證碼 (HMAC)包括一個散列函數，由基于 HMAC 的一次性密碼(HMACbased One-Time Password，HOTP) 標準用于創建一次性密碼。它通常會創建 6 到 8 個數字 的 HOTP 值。這類似于令牌創建的異步動態密碼。HOTP 值在使用前一直有效。 TOTP：基于時間的一次性密碼(Time-based One-Time Password，TOTP)標準類似于 HOTP。 但是，它使用時間戳并在特定時間范圍內保持有效，例如 30 秒。如果用戶在時間范圍內未 使用 TOTP 密碼，則該密碼將過期。這類似于令牌使用的同步動態密碼。

2、無密碼身份認證(Passwordless Authentication)(p656)

無密碼身份認證允許用戶無需輸入密碼(或任何其他記住的秘密)即可登錄系統。例如，許 多智能手機和平板電腦都支持生物識別認證。快速身份識別在線聯盟(Fast Identity Online， FIDO) 聯盟是一個開放的行業協會，其既定使命是減少對密碼的過度依賴。

3、基于云的聯合身份管理(Cloud-Based Federation)(p661)

基于云的聯合身份管理通常使用第三方服務來共享聯合身份。一種常見的方法是將用戶的內 部登錄 ID 與聯合身份進行匹配。例如，許多企業在線培訓網站使用聯合 SSO 系統。當組 織與在線培訓公司協同員工訪問時，他們也會協同聯合身份的詳細信息。用戶使用他們的正 常登錄 ID 在組織內登錄。當用戶使用 Web 瀏覽器訪問培訓網站時，聯合身份管理系統使 用他們的登錄 ID 來檢索匹配的聯合身份。如果找到匹配項，則授權用戶訪問授予聯合身份 的網頁。

4、本地聯合身份管理(On-Premise Federation)(p661)

聯合身份管理系統可以部署在本地、云端或兩種方式都用的混合模式。作為本地聯合身份管 理系統的例子，假設公司 A 與公司 B 合并。兩家公司都有自己的網絡和 SSO 系統。但是， 管理層希望員工無需登錄兩次即可訪問兩個網絡中的資源。通過創建本地聯合身份管理系 統，兩家公司可以共享身份驗證數據。該系統允許用戶繼續正常登錄，但他們也將有權訪問 其他公司的網絡資源。本地解決方案為組織提供了最大的控制權。

5、混合聯合身份管理 (Hybrid Federation)(p661)

混合聯合是基于云的解決方案和本地解決方案的組合。比如 公司 A 有一個基于云的聯合身 份系統，為員工提供在線培訓。與公司 B 合并后，他們實施了一個本地解決方案，用于實 現兩家公司共享身份。這種方法不會自動授予公司 B 員工訪問培訓站點的權限。但是，可以 將現有的本地解決方案與培訓站點的基于云的解決方案相集成。這為公司 B 的員工創建了 一個混合解決方案，并且與其他聯合解決方案一樣，為公司 B 的 員工提供了 SSO。

6、即時(Just-in-Time)(p662)

一些聯合身份解決方案支持即時 (JIT)的配置功能。這些解決方案會自動創建兩個實體之間 的關系，以便新用戶可以訪問資源。JIT 解決方案無需任何管理員干預即可創建連接。JIT 系 統通常使用 SAML 來交換所需的數據。

7、Mimikatz(708)

Mimikatz 已經成為黑客和滲透測試人員使用的流行工具。以下是 Mimikatz 的一些功能： 從內存中讀取密碼、提取 Kerberos 票證、提取證書和私鑰、在內存中讀取 LM 和 NTLM 密碼哈希、在本地安全授權子系統服務(LSASS)中讀取明文密碼、列出正在運行的進程。

8、Kerberos 利用攻擊(Kerberos Exploitation Attack)(710)

Microsoft 的 Active Directory 使用 Kerberos 作為主要身份驗證協議。不幸的是，Kerberos 容易受到使用開源工具(如 Mimikatz)的多種利用攻擊。Kerberos 漏洞利用攻擊包括：超 -哈希傳遞攻擊(Overpass the Hash)、票據傳遞攻擊(Pass the Ticket)、銀票據(Silver Ticket)、 金票據(Golden Ticket)、Kerberos 暴力破解(Kerberos Brute-Force)、ASREPRoast 攻擊、 Kerberoasting 攻擊。

關注中培偉業，了解更多CISSP相關信息。