第2章　身份識別和身份驗證

當開發安全措施時，無論特定機制還是全部基礎設施，身份識別和身份驗證都是關鍵概念。簡單地說，身份識別是聲稱某人或某物是什么，而身份驗證則確定該聲明是否屬實。你會看到，這樣的過程每天都在以各種各樣的方式發生。

使用需要個人識別碼（Personal Identification Number，PIN）的支付卡就是身份識別和身份驗證的一個常見示例。刷卡上的磁條，就是在聲稱你就是卡代表的人。在這一點上，你只是提供了自己的身份，但僅此而已。當輸入與卡關聯的PIN時，你正在完成事務過程中的身份驗證，證明你是合法的持卡人。

我們日常使用的一些身份識別和身份驗證方法特別脆弱，這意味著安全性在很大程度上將依賴參與事務的人的誠實和勤勉。例如，你出示身份證買酒，就是在向人們證實你的身份真實準確，除非他們有權訪問身份證的維護系統，否則他們就無法對此進行驗證。我們還依賴執行身份驗證的人員或系統的能力。這些人員和系統不僅必須能夠執行身份驗證操作，還必須能夠對虛假或欺詐性活動進行檢測。

你可以使用幾種方法進行身份識別和驗證，從要求簡單的用戶名和密碼，到執行專用的能夠以多種方式確定你身份的硬件令牌。在本章中，我將討論其中幾種方法，并探討它們的用法。