小白学安全第二十三篇之身份验证

身份验证

身份验证是访问控制的第二步，当客体提供了身份标识之后，访问控制系统要确定客体身份标识的准确性，因此形成了多种身份验证的方法。

身份验证方法

通常我们将身份验证方法分为三类，即：“某人知道的内容”、“某人所拥有的物品”、“某人的身份”，英文中指的是“whoknows”、“who has”、“who is”。

“某人所知道的内容”，即“whoknows”是最常见的身份验证方法，可以是密码、PIN码、父母的生日等。这种方式优点是简单、经济，缺点是安全性不高。任何人获得相关知识之后都可以进行非授权访问。

“某人所拥有的物品”，即“whohas”可以是钥匙、门禁卡、身份证等物品。这种方法常用于访问设施，安全性中等。缺点是这些物品容易丢失或被盗，从而导致非授权访问。

“某人的身份”即“whois”是相对安全性较高的一种方法，这种方法是基于物理特征的，包括人们的指纹、虹膜、声纹、相貌等信息。这也是苹果公司可以在最新的IPhone X上使用FaceID的原因，物理性质的身份验证往往是最难仿造的。

双因素验证

由于不满足于当前身份验证方法的安全性，很多公司都采取了双因素（多因素）认证的方法，即具有“knows”、“has”、“is”中的两种或两种以上的方式。

某些公司会对双因素认证产生误解，比如使用双重密码认证的方式。不管密码、常识还是短语都属于“knows”的范畴，达不到双因素认证的要求。

总而言之

身份验证方法是确定身份标识的过程，也是为下一步授权操作打下基础的过程。在认证的过程中，如何保证身份验证的准确性、不可复制的特性是一个安全系统必须要考虑清楚的事情。