任何一套系統（不管是C/S類型還是B/S類型的）都離不開權限體系，而權限體系又依懶于身份認證體系。小到大家日常使用的微博、微信、網站等，都離不開登錄場景，大到你的銀行卡都是需要設置密碼的。所以說身份認證對于一套系統而言是必不可少的，身份認證的安全性尤為重要！

何為身份認證？

身份認證有很多種說法，比如“身份證驗”、“會話認證”等，它是指計算機網絡系統對操作者身份進行確認的過程，以判斷操作者是否有權限進行資源的訪問和操作，這樣才能最大程度保證系統和數據的安全性。

身份認證的方式有哪些？

最早期的身份認證機制很簡單，就是判斷用戶名和密碼是否能和數據庫中的記錄匹配上。而隨著網絡上的攻擊類型越來越多，身份認證體系也發生了不少變化，目前常見的身份證認方式有以下幾種：

• 靜態密碼
  

• 短信驗證碼

• 動態口令牌

• USBKey

• 生物識別（指紋、面部識別等）

• 多種認證的結合

利用各種加密技術，確保身份認證過程的安全性

上面說到的身份認證方式離不開加密技術，如果要保證身份驗證過程的安全就需要確保認程過程是在加密環境下執行的，具體該如何在加密環境中工作呢？我整理出了主要的思路供大家參考：

1、各種密碼要加密存儲以防爆庫、拖庫

特別是靜態密碼不能明文存儲在數據庫中，萬一數據庫被爆那所有用戶的密碼全部會泄露。

2、多重加密方式進行混淆加密，增加破解難度

像我們熟知的MD5其實是不可逆的，但網上為什么有所謂的“MD5破解”網站呢？其實原理也很簡單，這類網站收集各類密碼，然后以明文和MD5加密的方式共同存儲入庫，下次別人檢索一個MD加密過的密碼時就把它和數據庫中進行對比，然后找到明文，這種做法在業內稱為“碰撞”。

3、選擇HTTPS而不是HTTP協議進行數據傳輸

HTTP協議在傳輸數據的過程中是明文的，如果請求被中間人攔截那黑客可以輕易看到你的請求數據（密碼會直接暴露出來），這是極不安全的；而HTTPS在HTTP的基礎上加了SSL層以保證數據是加密傳輸的，破解起來難度極大（除了在本地安裝證書進行抓包，這種不能算的）。

所以銀行業系統對外訪問時都是以HTTPS協議訪問。

4、避免本地鍵盤勾子截獲密碼

大家有沒有注意到，銀行網銀系統不少都要安裝它們提供的安全控件？安裝了這些控件后才會出現密碼輸入框？因為客戶端電腦上的安全性是不能保證的，如果客戶電腦上中毒了可能會被黑客植入鍵盤勾子程度，它可以截獲鍵盤上的所有按鍵輸入！

所以安全性高的站點都會開發一個控件用來輸入密碼，這類控件可以防止鍵盤勾子，從而保證密碼輸入過程中不會被后門程序獲取到。

以上就是我的觀點，對于這個問題大家是怎么看待的呢？歡迎在下方評論區交流~我是科技領域創作者，十年互聯網從業經驗，我了解更多科技知識！