口令/应答认证机制(challenge-response authentication mechanism,CRAM)是鉴别网络用户的两个层次的方案,它是超文本传输协议(HTTP)的一部分,而两个层级中的一个是基本验证,另一个摘要验证。
使用CRAM,服务器(或者代理服务器或网关)向用户发出一个由“401 unauthorized”组成的信息,并请求响应的密码。密码是只有用户和服务器指导的一个字符串。当服务器接收到用户的回应时,它检查密码是否正确,如果正确,用户就被验证,如果不正确,或者还有其它的网络原因,“403 forbidden”信息将会出现,存取站点信息被进制。CRAM能够在其它安全特征,如强加密之外运用。
基本CRAM验证应该被屏蔽,这时因为此时的密码特别容易被盗取。使用摘要验证时,将会出现完善的CRAM的两个组成部分,密码将不会作为简单文本在网络上传输,这将加强安全性,但并不能提供完整完善的保护。摘要验证在某种情况下能够被攻击,并给予未验证的Hacker超级用户权限。这将使hacker载入拒绝服务攻击,使授权用户无法获得验证。
