了解 FIPS 身份验证方法

通过控制台和 SSH 进行用户名和密码身份验证

在此身份验证方法中，要求用户输入用户名和密码。设备强制用户输入至少 10 个字符的密码，该密码是从 96 个人类可读的 ASCII 字符中选择的。

注意：

密码的最大长度为 20 个字符。

在此方法中，设备强制执行定时访问机制，例如，前两次尝试输入正确密码失败（假设处理时间为 0），不强制进行定时访问。当用户第三次输入密码时，模块将强制实施 5 秒延迟。此后，每次失败的尝试都会导致比上一次失败的尝试额外延迟 5 秒。例如，如果第四次失败的尝试是 10 秒的延迟，则第五次失败的尝试是 15 秒的延迟，第六次失败的尝试是 20 秒的延迟，第七次失败的尝试是 25 秒的延迟。

因此，这导致每个 getty 活动终端在 1 分钟内最多进行 7 次可能的尝试。因此，攻击者的最佳方法是在 4 次尝试失败后断开连接，然后等待生成新的 getty。这将允许攻击者每分钟执行大约 9.6 次尝试（每小时 576 次尝试或 60 分钟）。这将四舍五入为每分钟 9 次尝试，因为没有 0.6 次尝试这样的东西。因此，随机尝试成功的概率是 1/9610，小于 1/1 百万。在 1 分钟内多次连续尝试成功的概率为 9/（9610），小于 1/100,000。

通过 SSH 进行用户名和公钥身份验证

在 SSH 公钥身份验证中，您需要提供用户名并验证与存储在服务器上的公钥对应的私钥的所有权。该器件支持 ECDSA（P-256、P-384 和 P-521）和 RSA（2048、3072 和 4092 模数位长）密钥类型。在 1 分钟内多次连续尝试成功的概率为 5.6e7/（2128）。