用戶名/密碼方式
用戶名/密碼是最簡單也是最常用的身份認證方法,它是基于“what you know”的驗證手段。每個用戶的密碼是由這個用戶自己設定的,只有他自己才知道,因此只要能夠正確輸入密碼,計算機就認為他就是這個用戶。
然而實際上,由于許多用戶為了防止忘記密碼,經常會采用容易被他人猜到的有意義的字符串作為密碼,這存在著許多安全隱患,極易造成密碼泄露。即使能保證用戶密碼不被泄漏,由于密碼是靜態的數據,并且在驗證過程中,需要在計算機內存中和網絡中傳輸,而每次驗證過程使用的驗證信息都是相同的,很容易被駐留在計算機內存中的木馬程序或網絡中的監聽設備截獲。因此用戶名/密碼方式是一種極不安全的身份認證方式。
IC卡認證
IC卡是一種內置了集成電路的卡片,卡片中存有與用戶身份相關的數據,可以認為是不可復制的硬件。IC卡由合法用戶隨身攜帶,登錄時必須將IC卡插入專用的讀卡器中讀取其中的信息,以驗證用戶的身份。IC卡認證是基于“what you have”的手段,通過IC卡硬件的不可復制性來保證用戶身份不會被仿冒。
然而由于每次從IC卡中讀取的數據還是靜態的,通過內存掃描或網絡監聽等技術還是很容易能截取到用戶的身份驗證信息。因此,靜態驗證的方式還是存在著根本的安全隱患。
動態口令
動態口令技術是一種讓用戶的密碼按照時間或使用次數不斷動態變化,每個密碼只使用一次的技術。它采用一種稱之為動態令牌的專用硬件,密碼生成芯片運行專門的密碼算法,根據當前時間或使用次數生成當前密碼。用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端計算機,即可實現身份的確認。
由于每次使用的密碼必須由動態令牌來產生,只有合法用戶才持有該硬件,所以只要密碼驗證通過就可以認為該用戶的身份是可靠的。而動態口令技術采用一次一密的方法,也有效地保證了用戶身份的安全性。但是如果客戶端硬件與服務器端程序的時間或次數不能保持良好的同步,就可能發生合法用戶無法登錄的問題,這使得用戶的使用非常不方便。
生物特征認證
生物特征認證是指采用每個人獨一無二的生物特征來驗證用戶身份的技術,常見的有指紋識別、虹膜識別等。從理論上說,生物特征認證是最可靠的身份認證方式,因為它直接使用人的物理特征來表示每一個人的數字身份,幾乎不可能被仿冒。
不過,生物特征認證是基于生物特征識別技術的,受到現在的生物特征識別技術成熟度的影響,采用生物特征認證還具有較大的局限性:首先,生物特征識別的準確性和穩定性還有待提高;其次,由于研發投入較大而產量較小的原因,生物特征認證系統的成本非常高。
USB Key認證
基于USB Key的身份認證方式是一種方便、安全、經濟的身份認證技術,它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。
USB Key是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼學算法實現對用戶身份的認證。基于USB Key身份認證系統主要有兩種應用模式:一是基于沖擊/響應的認證模式;二是基于PKI體系的認證模式。
