身份认证有三种思路分别是:你知道什么?你有什么?你有哪些特点?
| 认证思路 | 描述 |
|---|---|
| What you know | 根据你所知道的信息来证明你的身份,这些信息只有你知道,别人不知道,所以可以认证你的身份。 |
| What you have | 根据你所拥有的东西来证明你的身份,这些东西是你独有的,别人都没有,这就可以证明你的身份。 |
| Who you are | 直接根据独一无二的身体特征来证明你的身份,根据你独一无二的特性来认证你的身份,比如指纹、面貌等。 |
而这三种思路中,最常用的就是第一种,其形式就是通过密码或者口令来承载秘密信息。而本文就给大家介绍一下传统的基于口令的认证方式来引入进行身份认证的一般过程。
一、基于口令的认证
基于口令的认证是最传统和最基本的认证方式,它依赖于用户知道的秘密信息(即密码)来验证用户的身份。这种认证方式的核心在于“你知道什么”,即用户必须能够提供正确的口令才能通过认证。
它的特点如下
- 简单易用:基于口令的认证易于实现和理解,用户只需要记住密码即可。
- 成本低:相对于其他认证方式,基于口令的认证在实施和维护上的成本较低。
- 广泛支持:几乎所有系统都支持基于口令的认证,无论是操作系统、Web应用还是移动应用。
二、基于口令认证的一般过程
基于口令的认证分为初始化阶段和身份认证阶段。
| 阶段 | 描述 |
|---|---|
| 初始化阶段 | 用户选择口令并经过哈希后存放在口令文件中,以避免明文存放导致的安全风险。 |
| 身份认证阶段 | 用户输入口令后,系统对口令进行哈希计算并与之前存放的哈希进行比较,如果匹配成功则认证通过。 |
(1)初始化阶段
在这个阶段,用户的口令被安全地存储在系统中,以确保即使口令文件被泄露也不会轻易暴露用户的口令。下面是初始化阶段的四个步骤的描述:
- 用户选择口令:用户创建一个口令,这个口令应该遵循一定的复杂度要求,例如包含字母、数字和特殊字符等。
- 口令哈希处理:系统接收到用户输入的口令后,对其进行单向哈希处理。常用的哈希算法包括SHA-256、bcrypt等,这些算法具有不可逆性,即无法从哈希值反推原始口令。
- 添加盐值:在哈希处理前,系统会为每个口令添加一个唯一的随机字符串(称为“盐”或“salt”)。盐值可以是固定的或每次哈希时随机生成的,目的是增加破解哈希值的难度。
- 存储哈希值:将哈希后的口令(连同盐值)存储在口令文件中。这样即使口令文件被泄露,攻击者也无法轻易获取到原始口令。
(2)身份认证阶段
在这个阶段,当用户尝试登录系统时,系统会对用户提供的口令进行验证。下面是身份认证阶段的四个步骤的描述:
- 用户输入口令:用户在登录界面上输入用户名和口令。
- 口令哈希处理:系统接收用户输入的口令,并对其进行相同的哈希处理(包括添加相同的盐值)。
- 哈希值比对:系统将生成的哈希值与存储在口令文件中的哈希值进行比较。如果两个哈希值匹配,则认证成功;如果不匹配,则认证失败。
- 认证结果反馈:如果认证成功,用户将被允许访问系统或服务。如果认证失败,系统可能会显示错误信息,提示用户重新输入或采取其他措施。
三、基于口令认证的安全性问题
基于口令的身份认证虽然简单方便,但也存在一系列安全性问题。例如以下的缺点
- 安全性较低:如果密码被猜出、口令泄露或通过其他方式获取,安全性就会大大降低。
- 易受攻击:容易受到暴力破解、字典攻击、钓鱼攻击、重放攻击等攻击方式的影响。
- 记忆负担:用户需要记住多个复杂密码,容易忘记或混淆。
为了解决上述安全问题,出现了多种基于密码的身份认证技术,这便是后续文章的重点内容了。
扫一扫
621
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
