在典型的情况下，你所拥有的东西和你所拥有的东西一次只能对一个人是真实的。如果您丢失了令牌，您就知道您丢失了它。

你知道的东西可以在你不知情的情况下被别人复制。如果有人知道您的密码，您可能无法判断他们正在积极利用该知识。

这是定期更改密码的原因之一。它缩短了可以利用密码泄露的窗口。

密码，或更一般地说，你知道的东西，通常相对较弱，因为用户无法记住高熵的秘密。结果，密码（或您需要记住的任何内容）通常最终成为一个低熵秘密，这使得随机猜测、离线字典搜索和其他攻击成为可能。虽然可以创建并记住一个非常好的密码，但经验表明用户不会——而且期望用户这样做可能是不合理的。

有大量的学术研究和实践经验支持这一说法。以下是一些示例参考：

• 猜测的科学：分析 7000 万个密码的匿名语料库，约瑟夫·博诺。2012 年 IEEE 安全和隐私研讨会。【分析数千万用户密码数据。表明对一个帐户密码进行 10 次猜测将损害大约 1% 的密码泄露机会，并且大约一半的密码具有 20 位或更少的熵。换句话说，许多/大多数密码都很弱。]

• 有没有关于人们如何处理密码的学术文章？

• 为什么密码散列被认为如此重要？

• 查看全部密码在这个网站上标记。

此外，您知道的任何秘密都可能被网络钓鱼（即，有人可能会通过社交工程让您泄露它）。

记住经典语句：

人类无法安全地存储高质量的加密密钥，并且在执行加密操作时，他们的速度和准确性低得令人无法接受。（它们也很大，维护成本高，难以管理，并且污染环境。令人惊讶的是，这些设备仍在继续制造和部署。但它们非常普遍，我们必须围绕它们的局限性设计我们的协议。）

Charlie Kaufman、Radia Perlman、Mike Speciner，网络安全：公共世界中的私人通信。

此时您可能会想：密码有这么多问题，我们为什么还要使用它们？如果是这样，我建议你看看这个问题：为什么我们甚至在生物识别旁边使用密码/密码？.

可能有一个“你知道的东西”，你不能被迫透露。我读到了一个安全登录系统，它显示了一个由 12 到 15 张面孔照片组成的网格，你有大约 3 秒的时间来触摸你以前见过的 3 或 4 张照片。为此，必须有一个包含数千张照片的数据库，并且您需要对数百张照片进行训练。系统知道你训练过哪些。（您首先给出一个假定为“公共”的用户名 - 不安全。）

您不可能将此信息传达给另一个人，并且一次登录的任何成功都会在另一次登录中传达零成功。为了让“你知道的事情”有效，我们应该简单地利用人性中有效工作的方面。大多数人都可以识别以前看过的人脸照片 - 它是内置的。

这是生物特征认证供应商进行的出色营销的结果。

“Something you are”有时很容易被攻击者复制，指纹和声音特别容易获得，人们无法使用可靠的策略来避免它（始终戴手套而不在公共场合讲话是不切实际的） ）。

我们中的大多数人每天都可能留下几十个可利用的指纹，我几乎不会经常大声说出我的密码。

“你有的东西”也不是没有缺点，需要大量的用户教育才能正确使用。例如，在任何 RSA SecureID 公司中，参观办公室都会发现其中许多在办公桌上，代码是可见的。我什至看到有人把它们挂在脖子上。此外，在需要之前可能不会注意到身份验证令牌的消失。