小白学安全第二十三篇之身份验证 – 作者:360网络安全学院

身份验证

身份验证是访问控制的第二步,当客体提供了身份标识之后,访问控制系统要确定客体身份标识的准确性,因此形成了多种身份验证的方法。

身份验证方法

通常我们将身份验证方法分为三类,即:“某人知道的内容”、“某人所拥有的物品”、“某人的身份”,英文中指的是“whoknows”、“who has”、“who is”。

“某人所知道的内容”,即“whoknows”是最常见的身份验证方法,可以是密码、PIN码、父母的生日等。这种方式优点是简单、经济,缺点是安全性不高。任何人获得相关知识之后都可以进行非授权访问。

1.gif

“某人所拥有的物品”,即“whohas”可以是钥匙、门禁卡、身份证等物品。这种方法常用于访问设施,安全性中等。缺点是这些物品容易丢失或被盗,从而导致非授权访问。

2.jpg

“某人的身份”即“whois”是相对安全性较高的一种方法,这种方法是基于物理特征的,包括人们的指纹、虹膜、声纹、相貌等信息。这也是苹果公司可以在最新的IPhone X上使用FaceID的原因,物理性质的身份验证往往是最难仿造的。

3.jpg

 

双因素验证

   由于不满足于当前身份验证方法的安全性,很多公司都采取了双因素(多因素)认证的方法,即具有“knows”、“has”、“is”中的两种或两种以上的方式。

   某些公司会对双因素认证产生误解,比如使用双重密码认证的方式。不管密码、常识还是短语都属于“knows”的范畴,达不到双因素认证的要求。

总而言之

身份验证方法是确定身份标识的过程,也是为下一步授权操作打下基础的过程。在认证的过程中,如何保证身份验证的准确性、不可复制的特性是一个安全系统必须要考虑清楚的事情。

 

来源:freebuf.com 2018-09-10 16:22:56 by: 360网络安全学院

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论