在数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。
如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。
如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定,一是根据你所知道的信息来证明你的身份(What You Know),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(What You Have),假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认真个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(Who You Are),比如指纹、面貌等。
身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证,现在又要经历从中心化到区块链去中心化技术的过程。
总的来说,市场上的数字身份认证方式主要有以下七大类:
基于静态口令的认证
“用户名+密码”是最简单也是最常用的身份认证方法,它是基于“What You Know”的验证手段。每个用户的密码是由这个用户自己设定的,只有他自己才知道,因此只要能够正确输入密码,计算机就认为他就是这个用户。
然而,由于许多用户为了防止忘记密码,经常采用诸如自己或家人的生日、电话号码等容易被他人猜测到的有意义的字符串作为密码,或者把密码抄在一个自己认为安全的地方,这都存在着许多安全隐患,极易造成密码泄露。
基于动态口令的认证
动态口令,全称叫One-Time Password(OTP),是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的随机数字组合,每个口令只能使用一次,每天可以产生43200个密码。采用动态口令就无需定期更换密码,安全省心。动态令牌即是用来生成动态口令的终端,动态令牌从终端来分类包含硬件令牌和手机令牌两种。
在生成动态口令的过程中,不会产生任何通信及费用,因此不会在通信信道中被截取,欠费和无信号对其不产生任何影响,具有高安全性、零成本、无需携带等优势。但如果客户端与服务器端程序的时间或次数不能保持良好的同步,就可能发生合法用户无法登录的问题,这使用户的使用非常不方便。