身份验证是指识别个人身份的过程，通常基于用户名、密码和某种类型的附加验证。身份验证可确认个人的真实身份，从而防止对程序、系统、网络或设备进行未经授权的访问，但不会影响个人的访问权限。在安全系统中，身份验证是一种独特的授权形式，是根据个人身份允许个人访问系统对象的过程。

身份验证用于计算机安全和用户访问管理系统。此识别过程通常通过用户知道的信息（例如密码）、他们拥有的信息（例如 ID 卡或 USB 令牌）或他们的身份（通过生物识别技术）来验证用户的身份。

通过验证用户的身份，身份验证可验证他们是否有权访问资源和服务。当今最常见的身份验证形式是用户名和密码的组合。

身份验证有五种主要类别，每种类别都使用不同的方式来确认身份。

基于知识的身份验证通过要求用户回答他们应该知道或回忆的问题来验证身份。

基于行为的身份验证使用有关用户如何与机器交互的数据来确定他们的身份。行为因素利用记录和分析的行为模式来确定身份。

拥有因素要求个人拥有特定的信息或设备（例如令牌、ID 卡或智能卡）来访问系统。

固有因素，有时称为生物识别因素或物理属性，利用个人的生理特征（例如声音、指纹、手掌或面部）来验证身份。

位置因素依赖于地理位置安全检查来验证用户的位置。

身份验证通常由以下变量之一或某种组合组成：

知识：您知道的东西，通常是电子邮件地址、身份证号码或用户名和密码，尽管它也可以包括自定义安全问题和验证码验证

所有权：您拥有的东西，可以是电子邮件验证链接、一次性密码 (OTP)、身份徽章、钥匙卡或浏览器 cookie

固有：你是谁，包括生物识别，例如视网膜扫描、指纹、语音识别或面部识别

这些变量的任意组合都会创建一个多因素身份验证过程，有时需要用户参与，但也可以谨慎地完成，就像 cookie 身份验证的情况一样。大多数情况下，用户尝试访问程序、网络、设备等时都会进行身份验证，访客访问和自动登录的情况除外。

基本身份验证将用户的变量与正在访问的系统中存储的变量进行比较。例如，对于用户名和密码，用户在登录时输入的凭据将与存储的用户名和相应密码的数据库进行交叉引用。如果两个凭据匹配，则用户将被授予访问权限。如果一个或两个凭据无效，将返回一条错误消息（尽管不同的场景可能会返回不同的消息）。在特别敏感或高风险的登录情况下，太多不成功的身份验证尝试可能会导致帐户锁定，用户必须采取额外的步骤来验证其身份。

用户可以使用多种身份验证方法来保护其数据。这里是其中的一些：

单因素身份验证 (SFA) 也称为基于密码的身份验证，是最简单的身份验证形式，仅需要一种类型的凭据来验证用户的身份。单因素身份验证的一个常见示例是在登录网站或应用程序时输入用户名和密码。

这种方法被认为是单因素，因为它仅依赖于一条信息（密码）来验证个人的身份。此类系统的安全性取决于第三方（不知道用户密码）猜测它可能是什么的难度。

双因素身份验证 (2FA) 是一种安全方法，需要两种不同的方式来证明用户的身份。换句话说，用户需要的不仅仅是密码才能访问其帐户。除了输入密码外，他们还必须提供另一条只有他们自己知道的信息。

因此，如果坏人要窃取用户的密码，他们仍然无法登录，除非他们有权访问只有用户拥有的其他东西，例如身份验证器应用程序或设备。

2FA 的常见类型包括：

2FA 的硬件令牌

SMS 短信 2FA

2FA 的软件令牌

基于语音的 2FA

多重身份验证 (MFA) 为登录过程提供了额外的安全层。这种类型的身份验证需要两种或多种不同的方式来验证用户的身份。 MFA 最常见的形式是您知道的信息（如密码）、您拥有的信息（如令牌）以及您访问帐户或资源的信息（如生物识别信息）。

此外，多重身份验证为敏感帐户提供了额外的保护层。这样，即使攻击者获得了个人的密码，如果没有物理访问用户的手机或其他设备，他们也无法进入用户的帐户，这是身份验证过程中的第二个因素。

最常见的多因素身份验证形式是一次性密码 (OTP) 令牌的组合，该令牌为用户生成密码并通过短信或电子邮件与单因素选项（如密码和 PIN 以及位置或行为）一起发送基于信息来验证用户的身份。

SSO 身份验证允许用户验证和访问多个应用程序，而无需重新输入凭据。 SSO 是一种联合身份，这意味着它使用中央身份提供商 (CIP) 来对用户进行身份验证。 CIP 代表用户想要访问的每个资源对用户进行身份验证。 SSO 协议构建在 OAuth 2.0 和 SAML 2.0 等现有标准之上，允许系统安全地相互通信。

然而，有些用户可能会觉得记住这么多密码很不方便。此外，如果这些密码中的任何一个被泄露，他们都可能会泄露通过 SSO 身份验证的网络上的所有帐户。

使用无密码身份验证系统，用户无需输入代码或密码即可登录。相反，他们可以使用生物识别措施（指纹、面部扫描）或数字手段（令牌或 cookie）来获得访问权限。

这些系统需要用户付出最少的努力，并且比其他身份验证方法提供更多的隐私。它们也往往比传统方法更安全，因为它们不需要密码。相反，可以使用移动设备、指纹和视网膜扫描对用户进行身份验证.

在基于证书的身份验证系统中，用户使用数字证书对自己进行身份验证。然后，系统通过检查用户的数字证书是否合法有效来验证用户的身份。

数字证书是由可信实体颁发的签名文档，用于保证用户身份。 SSL/TLS 证书是在线商务中每天使用的数字证书的示例，用于确保网站和浏览器之间的安全通信。在验证有关请求实体的信息后，证书颁发机构 (CA) 颁发数字证书。换句话说，他们确认请求数字证书的用户就是他们所说的人。

通常认为基于证书的身份验证优于基于密码的身份验证，因为它基于用户拥有的内容（私钥）以及用户所知道的内容（保护私钥的密码）。

然而，基于证书的身份验证比基于密码的身份验证需要更多的基础设施。它需要 X.509 证书颁发机构 (CA) 和公钥/私钥基础设施 (PKI)。 CA向用户颁发数字证书，用户在登录时使用数字证书和密码进行身份验证。

基于密码的身份验证是最常用的身份验证方法，要求用户输入用户名和密码才能访问系统。如果两个值都与内部数据库中存储的值匹配，则授予访问权限。

密码应该不难记住，但它们需要足够复杂，以防止未经授权的用户访问敏感数据或修改关键的公司信息。

基于密码的身份验证具有以下优点：

基于密码的身份验证不需要任何额外的硬件，这使得跨多种设备（包括笔记本电脑、台式机等）轻松部署和管理。

它可以轻松地与其他身份验证方法（例如 2FA 和 MFA）集成。

它耗时较少，并且用户不需要任何高深的技术技能来设置密码。

基于密码的身份验证很简单，用户只需完成一个过程，并且用户还可以随时更改密码。

不幸的是，使用密码作为身份验证手段存在许多问题。

用户倾向于选择弱密码，这些密码很容易被猜出或通过暴力方法（例如字典攻击或彩虹表）破解.

用户倾向于在多个系统中使用相同的密码，这使得访问一个帐户（通过网络钓鱼或破解）的攻击者更容易危害其他帐户。

即使使用强密码并为每个帐户生成唯一的密码，不良行为者仍然有可能通过社会工程猜测用户的密码.

基于密码的身份验证通常依赖于单一因素，这意味着一旦受到威胁，所有帐户都会受到威胁。

用户可能不愿意使用密码管理器，尽管使用安全、易于使用的平台之一会在创建和生成强密码方面产生重大影响。

授权和身份验证都描述了在允许个人访问某些事物或地点之前确保其身份真实的方法。在计算中，身份验证通常指实体如何向彼此证明其身份以防止安全问题。授权涉及访问权限以及用户可以做什么。

授权通常用作控制对信息系统中资源的访问的手段。它涉及检查实体的身份并确定该实体是否有权操作资源。此过程通常由授权系统处理，该系统根据预先建立的规则检查凭据。

许多新趋势已经出现，其中许多趋势建立在密码等传统模型之上。生物识别技术越来越受欢迎，指纹识别器和视网膜扫描仪可以作为验证身份的简单方法，而无需担心密码丢失或被盗。其他新兴的身份验证方法包括：

地理位置：这种形式的身份验证依赖于实时识别用户位置的技术。

手掌静脉图案身份验证：为了在指纹身份验证的基础上，研究人员开发了手掌静脉图案身份验证，它使用每个人手上独特的静脉图案来识别他们。

基于时间的一次性密码 (TOTP)：应用程序使用 TOTP 根据电话号码、位置或其他详细信息生成代码来验证用户的身份。该代码每 30 秒更改一次，因此即使有人窃取了它，以后也无法使用它。

语音识别安全系统：语音生物识别身份验证使用用户语音和语音特有的模式进行身份验证。