我正在阅读有关密码的内容,并遇到了用于向服务器验证客户端的方法。由于以纯文本形式向服务器发送密码不是验证用户的最佳方法,因此描述了某些方法来抵抗重放攻击、MITM等。
描述的一些方法是: -
1)随机挑战方法,服务器向客户端提供随机字符串,客户端使用其密钥/密码(对称)对其进行加密并将结果发送回服务器。服务器执行类似的过程(或相反)来确定用户的真实性。
2) 依赖 SSL/TLS 进行加密
3) 基于证书的身份验证
我的问题是- 上述哪种方法在当前实践中?比如当我们尝试登录我们的Google、Facebook或Stackexchange帐户时,使用了哪种身份验证方法?
这真的取决于服务。
最常见的是基于密码的身份验证(并且可能会长时间保持这种状态)。您提到的所有这些服务都使用 TLS 进行加密以减轻可能的 MIM 攻击。
现在成为一种常见做法是提供2FA。已经提供它的网站列表:https ://twofactorauth.org/
重要的是要了解它是多一层安全性,而不是旨在取代基于密码的身份验证。
此外,现在大多数服务都提供OAuth2。例如,当您使用 Google 帐户访问 Stack Exchange 时。当然,您必须使用基于密码的身份验证在您的 Google 帐户中进行身份验证。
密码身份验证被广泛使用,因为它首先出现并且比其他方法更具可扩展性。假设我的服务器提供证书身份验证。如果要对其进行身份验证,则必须拥有由我的服务器信任的证书颁发机构签名的证书。您也必须购买并在您的计算机中安装此证书。对于互联网上的大多数最终用户来说,这不是一个简单的配置。
企业还可以使用其他一些方法,因为它们通常拥有所有的基础设施,并且网站只能在企业网络内部访问,例如: SAML2.0、Kerberos、JWT等。
现在使用哪些用户认证措施?
简单的答案“多因素身份验证”
基于 :
结合以上用户身份验证定义的两个或多个因素可以提供。它始终取决于您使用的服务、设备和信息。
根据要求,您可以使用您提到的技术。