更多操作
| 第12行: | 第12行: | ||
这个方式沿用已久 ,但有漏洞:用户自己很难使 自己设定的密码保持在“只有ta自己知道”的状态,在有病毒的网吧电脑上输入密码登录、在公共区域输入密码被别有用心之人偷窥 等等,都会使得密码被第三方得知。 | 这个方式沿用已久 ,但有漏洞:用户自己很难使 自己设定的密码保持在“只有ta自己知道”的状态,在有病毒的网吧电脑上输入密码登录、在公共区域输入密码被别有用心之人偷窥 等等,都会使得密码被第三方得知。 | ||
更严重的是,有些不使用密码管理器的用户,会在不同的网站上使用相同的密码,这种情况的话: | |||
* A网站以明文方式保存用户密码并被拖库、 | |||
* B网站的站长在暗网公开兜售网站的,包括密码在内的用户信息、 | |||
* C网站使用一些简单的摘要算法处理用户密码,被拖库后通过彩虹表逆向出一些用户的真实密码 | |||
* 等等 | |||
都会破坏掉这些用户注册的 D 、E、F、G...... 其他网站的“密码只有ta自己知道”状态 | |||
=== 用户ID+一次性验证码 === | === 用户ID+一次性验证码 === | ||
2024年4月30日 (二) 21:02的版本
身份认证呢,就是个让 认证要求方 相信 “你确实是 xxx ”的过程。
本条目向你介绍 互联网世界 的一些身份认证方式。
用户ID+密码
你叫小明,你要以自己的身份登录一个网站。
只向网站说 “我是小明”,网站是不会相信你就是小明的。
你还需要提供这个用户 对应 的密码;而这个网站相信,用户设定的密码只有ta自己知道,你向网站提供这个用户设定的密码,网站验证后和ta当时设定的密码一致,就相信你确实是这个用户,你也就成功登录了。
这个方式沿用已久 ,但有漏洞:用户自己很难使 自己设定的密码保持在“只有ta自己知道”的状态,在有病毒的网吧电脑上输入密码登录、在公共区域输入密码被别有用心之人偷窥 等等,都会使得密码被第三方得知。
更严重的是,有些不使用密码管理器的用户,会在不同的网站上使用相同的密码,这种情况的话:
- A网站以明文方式保存用户密码并被拖库、
- B网站的站长在暗网公开兜售网站的,包括密码在内的用户信息、
- C网站使用一些简单的摘要算法处理用户密码,被拖库后通过彩虹表逆向出一些用户的真实密码
- 等等
都会破坏掉这些用户注册的 D 、E、F、G...... 其他网站的“密码只有ta自己知道”状态