解析用户身份认证的六大方式

用户身份认证是安全的第一道大门，是各种安全措施可以发挥作用的前提。最常见的身份验证形式就是登录密码，密码丢失轻则被别人轻易看到自己的隐私，重则金钱或者虚拟财产，譬如游戏币、Q币等被盗窃。那么，在我们上网登录输入密码，在ATM柜机取款时输入的密码，或者我们在电脑上使用的银行U盾，它们背后是什么在支撑呢，今天我们就给大家介绍用户身份验证的六大方式。

六大身份认证解析之静态密码

大家经常见到和使用的，“账号+密码”身份验证方式中提及的密码为静态密码，是由用户自己设定的一串静态数据，静态密码一旦设定之后，除非用户更改，否则将保持不变。静态密码的安全性缺点，在于容易被偷看、猜测、字典攻击、暴力破解、窃取、监听、重放攻击、木马攻击等。

静态密码用户的密码是由用户自己设定的。在网络登录时输入正确的密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。如果密码是静态的数据，在验证过程中 需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此，静态密码机制无论是使用还是部署都非常简单，但从安全性上讲，用户名/密码方式一种是不安全的身份认证方式。

为了提高静态密码的安全性，用户定期对密码进行更改是一种保护方式，但是这又导致了静态密码在使用和管理上的困难，特别是当一个用户有几个甚至几十个密码需要处理时，非常容易造成密码记错和密码遗忘等问题，而且也很难要求所有的用户都能够严格执行定期修改密码的操作，即使用户定期修改，密码也会有相当一段时间是固定的。从总体上来说，静态密码的缺点和不足主要表现在以下几个方面：

(1)、静态密码的易用性和安全性互相排斥，两者不能兼顾，简单容易记忆的密码安全性弱，复杂的静态密码安全性高但是不易记忆和维护；

(2)、静态密码安全性低，容易遭受各种形式的安全攻击；

(3)、静态密码的风险成本高，一旦泄密将可能造成最大程度的损失，而且在发生损失以前，通常不知道静态密码已经泄密；

(4)、静态密码的使用和维护不便，特别一个用户有几个甚至十几个静态密码需要使用和维护时，静态密码遗忘及遗忘以后所进行的挂失、重置等操作通常需要花费不少的时间和精力，非常影响正常的使用感受。

因此，静态密码机制虽然使用和部署非常简单，但从安全性上讲，静态密码属于单因素的身份认证方式，已无法满足互联网对于身份认证安全性的需求。 六大身份认证解析之动态密码

动态密码目前主要有短信密码、动态口令牌、手机令牌等几种方式。

短信密码以手机短信形式请求包含6位随机数的动态密码，身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性。

动态口令牌是目前最为安全的身份认证方式，也是一种动态密码。动态口令牌是客户手持用来生成动态密码的终端，主流的是基于时间同步方式的，每60秒变换一次动态口令，口令一次有效，它产生6位动态数字进行一次一密的方式认证。由于它使用起来非常便捷，85%以上的世界500强企业运用它保护登录安全，广泛应用在VPN、网上银行、电子政务、电子商务等领域。

动态口令牌(OTP，One time password)，采用动态口令的认证方式就是在每次用户登录时除了输入常规的静态口令外，还要再输入一个每次都会变化的动态口令。这个动态口令的获得方式有很多种，如刮刮卡式、二维矩阵卡式和电子令牌式，其中电子令牌就是我们所说的动态口令牌。

刮刮卡和二维矩阵卡都是以纸质卡形式提供，但它们都存在着与生俱来的缺陷，刮刮卡有严格的使用次数限制，一般只能使用30次，而二维矩阵卡虽然可以无限次使用但很容易被复制，同动态口令牌相比刮刮卡和二维矩阵卡式都不具备时效性。

现在很多国外银行和少数国内银行在网上银行应用中采用这种动态口令牌的方式。采用动态口令牌方式的优点在于无须安装软件，操作简单。与客户电脑无关，不需要安装其他任何程序即可直接使用网上银行服务。一次一密，解决了客户密码被盗的问题。这应该是动态口令牌在安全性方面带来的最大好处。

手机令牌也称手机口令牌，是用来生成动态口令的手机客户端软件，在生成动态口令的过程中，不会产生任何通信及费用，不存在通信信道中被截取的可能性，手机作为动态口令生成的载体，欠费和无信号对其不产生任何影响。

手机令牌具有高安全性、0成本、无需携带、获取以及无物流等优势，相比硬件令牌更符合互联网的精神，由于以上优势，手机令牌可能会成为3G时代动态密码身份认证令牌的主流形式。

手机令牌的实质就是把动态密码技术用手机软件的方式实现，软件启动后，通过手机运算并在手机液晶屏幕每分钟显示一个不可猜测的动态密码。手机动态密码可在Windows Mobile、iPhone、android、symbian等手机操作系统运行。可做到密钥与手机捆绑。和动态令牌的硬件令牌形式一样。