身份认证是证明客户的真实身份和他表现的身份是不是一致的验证过程。目前,常用的身份认证技术主要有如下几种:
(1)用户名/密码方式。每个用户的密码是由自己设定的,只有用户知道。只要可输入正确密码,则为合法用户。实际上,因许多用户为不忘记密码,常常用如生日、电话号码等易被猜到的字符串作密码,或把密码抄纸上放在自认为安全的地方,如此很易使密码泄漏。其次它很容易被计算机内存中的特洛伊木马或网络中的监听设备拦截。因此,就安全性而言,此方法是一种非常不安全的身份验证方法。
(2)智能卡认证。智能卡芯片中有和用户身份有关系的数据。
智能卡特殊厂家使用专用设备生产,无法复制硬件。不过在使用内存扫描或网络监视器很容易获得用户的认证信息,所以智能卡认证还是有安全隐患。
(3)动态口令。动态口令技术的每个密码仅可用一次。用户用时仅需把动态令牌上体现的当即密码输进客户端计算机,即可实现身份认证。一般仅需经过密码验证就能判定这个用户的身份是可靠的。尽管黑客截取了一次密码,还是不能借此密码假冒合法用户的身份。动态口令通过“一次一密”手段有效维护了用户的身份是安全的。不过可能存在合法用户不能登录的问题。且用户每登录时需由键盘输入没有规律的密码,只要输错则需重新操作,用时特别不方便。
(4)USB Key认证。基于USB Key智能密码钥匙的身份认证是一种新型的便捷、安全的认证技术。其利用软、硬件结合、一次一密的强双因子认证模式,不错地处理了安全性和易用性的矛盾。USB Key是一款USB接口硬件设备,它内置信息安全功能芯片,存储用户密钥或数字证书,使用USB Key内置的加密算法进行身份验证用户身份。
(5)生物特征认证。生物识别身份验证是最能让人信任的身份验证方式,不同人的生物特征不一样,所以几乎不可能被假冒。但近年来对应的身份仿造技术不断发展,对其安全性有了新的挑战。
