身份认证(Authentication)
身份认证基础原理
身份认证(Authentication)是信息安全体系的第一道防线,其核心目标是确认访问者的真实身份,防止冒用、伪造和未授权访问。认证不仅是访问控制和授权的前提,也是防止数据泄露、系统入侵、资源滥用的基础。
- 认证与授权的区别:认证是"你是谁",授权是"你能做什么"。只有认证通过后,才能进行授权。
- 常见攻击方式:冒用(如弱口令、撞库)、伪造(如钓鱼、伪造Token)、会话劫持等。
- 防护思路:多因素认证、强密码策略、认证信息加密、会话管理、异常检测等。
身份认证广泛应用于操作系统登录、网络接入、Web系统、API接口、物联网设备等各类场景,是保障系统安全的基石。
重点术语解释
- 认证因子:用于证明身份的凭证,如密码、指纹、短信验证码、证书等。
- 单因素认证:仅依赖一种认证因子,安全性较低,易被破解。
- 多因素认证(MFA):结合两种及以上认证因子,极大提升安全性。
- 会话管理:认证通过后,维持用户状态的机制,如Session、Token。
- 认证协议:如Kerberos、OAuth、SAML、LDAP等。
- 认证绕过:攻击者通过漏洞绕过认证流程,直接获取资源。