更多操作
身份认证就是让 认证要求方 相信 “你确实是 xxx ”的过程。
本条目以小明为例,向你介绍互联网世界的一些身份认证方式。
用户ID+密码
你叫小明,你要以自己的身份登录一个网站。
只向网站说 “我是小明”,网站是不会相信你就是小明的:这是互联网世界,随便一个联网的设备都可以向网站说 “我是小明” 这4个字。
你还需要提供这个用户 对应 的密码;而这个网站相信,用户设定的密码只有ta自己知道,你向网站提供这个用户设定的密码,网站验证后和ta当时设定的密码一致,就相信你确实是这个用户,你也就成功登录了。
该登录方式沿用已久 ,不过有漏洞:用户自己很难保证 自己设定的密码 不被他人知道:在有病毒的网吧电脑上输入密码登录、在公共区域输入密码被别有用心之人偷窥 等等,都会使得密码被第三方得知。
更严重的是,有些不使用密码管理器的用户,会在不同的网站上使用相同的密码,这种情况的话:
- A网站以明文方式保存用户密码并被拖库、
- B网站的站长在暗网公开兜售网站的,包括密码在内的用户信息、
- C网站使用一些简单的摘要算法处理用户密码,被拖库后通过彩虹表逆向出一些用户的真实密码
- 等等
不仅会导致使得密码被第三方得知,还会使得这些用户注册的 D 、E、F、G...... 等网站的密码被他人得知。