2.2 身份认证

身份认证（authentication）有时也称作身份验证，是对访问系统的用户身份进行验证的过程。由于访问控制通常基于访问资源的用户身份，因此身份验证对于安全性至关重要。用户身份验证是通过凭证来实现的，凭证至少由用户ID和密码组成。目前也有多因子认证，它具有更高的安全性。

身份认证就是核对身份的过程，访问者宣称自己是某个身份时需要提供一些信息来证明。用于身份认证的信息类型（因素）分为三种：

● 用户知道的东西，例如密码、口令或PIN（个人识别码）；

● 用户拥有的东西，例如智能卡或密钥卡；

● 通过生物测量验证的用户身份，例如用户指纹、虹膜。

密码和口令是大众最常用的认证信息。这类用户知道的信息有可能被泄露、滥用或者猜出来，安全性较低。因此，除了使用强口令、定期更换口令之外，也会结合其他认证信息（因素）来实现安全性更高的身份认证，这就是多因素认证。