CISSP认证教材OSG第9版有增加或者改动的知识点，CISSP认证的教材新版知识点可能会在考试中出现，因此我们为大家进行了梳理，CISSP认证教材OSG第9版新增(改)知识点如下。

D5-身份与访问管理

1、HOTP、TOTP(p656)

HOTP：散列消息验证码 (HMAC)包括一个散列函数，由基于 HMAC 的一次性密码(HMACbased One-Time Password，HOTP) 标准用于创建一次性密码。它通常会创建 6 到 8 个数字 的 HOTP 值。这类似于令牌创建的异步动态密码。HOTP 值在使用前一直有效。 TOTP：基于时间的一次性密码(Time-based One-Time Password，TOTP)标准类似于 HOTP。 但是，它使用时间戳并在特定时间范围内保持有效，例如 30 秒。如果用户在时间范围内未 使用 TOTP 密码，则该密码将过期。这类似于令牌使用的同步动态密码。

2、无密码身份认证(Passwordless Authentication)(p656)

无密码身份认证允许用户无需输入密码(或任何其他记住的秘密)即可登录系统。例如，许 多智能手机和平板电脑都支持生物识别认证。快速身份识别在线联盟(Fast Identity Online， FIDO) 联盟是一个开放的行业协会，其既定使命是减少对密码的过度依赖。

3、基于云的联合身份管理(Cloud-Based Federation)(p661)

基于云的联合身份管理通常使用第三方服务来共享联合身份。一种常见的方法是将用户的内 部登录 ID 与联合身份进行匹配。例如，许多企业在线培训网站使用联合 SSO 系统。当组 织与在线培训公司协同员工访问时，他们也会协同联合身份的详细信息。用户使用他们的正 常登录 ID 在组织内登录。当用户使用 Web 浏览器访问培训网站时，联合身份管理系统使 用他们的登录 ID 来检索匹配的联合身份。如果找到匹配项，则授权用户访问授予联合身份 的网页。

4、本地联合身份管理(On-Premise Federation)(p661)

联合身份管理系统可以部署在本地、云端或两种方式都用的混合模式。作为本地联合身份管 理系统的例子，假设公司 A 与公司 B 合并。两家公司都有自己的网络和 SSO 系统。但是， 管理层希望员工无需登录两次即可访问两个网络中的资源。通过创建本地联合身份管理系 统，两家公司可以共享身份验证数据。该系统允许用户继续正常登录，但他们也将有权访问 其他公司的网络资源。本地解决方案为组织提供了最大的控制权。

5、混合联合身份管理 (Hybrid Federation)(p661)

混合联合是基于云的解决方案和本地解决方案的组合。比如 公司 A 有一个基于云的联合身 份系统，为员工提供在线培训。与公司 B 合并后，他们实施了一个本地解决方案，用于实 现两家公司共享身份。这种方法不会自动授予公司 B 员工访问培训站点的权限。但是，可以 将现有的本地解决方案与培训站点的基于云的解决方案相集成。这为公司 B 的员工创建了 一个混合解决方案，并且与其他联合解决方案一样，为公司 B 的 员工提供了 SSO。

6、即时(Just-in-Time)(p662)

一些联合身份解决方案支持即时 (JIT)的配置功能。这些解决方案会自动创建两个实体之间 的关系，以便新用户可以访问资源。JIT 解决方案无需任何管理员干预即可创建连接。JIT 系 统通常使用 SAML 来交换所需的数据。

7、Mimikatz(708)

Mimikatz 已经成为黑客和渗透测试人员使用的流行工具。以下是 Mimikatz 的一些功能： 从内存中读取密码、提取 Kerberos 票证、提取证书和私钥、在内存中读取 LM 和 NTLM 密码哈希、在本地安全授权子系统服务(LSASS)中读取明文密码、列出正在运行的进程。

8、Kerberos 利用攻击(Kerberos Exploitation Attack)(710)

Microsoft 的 Active Directory 使用 Kerberos 作为主要身份验证协议。不幸的是，Kerberos 容易受到使用开源工具(如 Mimikatz)的多种利用攻击。Kerberos 漏洞利用攻击包括：超 -哈希传递攻击(Overpass the Hash)、票据传递攻击(Pass the Ticket)、银票据(Silver Ticket)、 金票据(Golden Ticket)、Kerberos 暴力破解(Kerberos Brute-Force)、ASREPRoast 攻击、 Kerberoasting 攻击。

关注中培伟业，了解更多CISSP相关信息。