基于口令的認(rèn)證方式是較常用的一種技術(shù)。在最初階段，用戶(hù)首先在系統(tǒng)中注冊(cè)自己的用戶(hù)名和登錄口令。系統(tǒng)將用戶(hù)名和口令存儲(chǔ)在內(nèi)部數(shù)據(jù)庫(kù)中，注意這個(gè)口令一般是長(zhǎng)期有效的，因此也稱(chēng)為靜態(tài)口令。當(dāng)進(jìn)行登錄時(shí)，用戶(hù)系統(tǒng)產(chǎn)生一個(gè)類(lèi)似于時(shí)間戳的東西，把這個(gè)時(shí)間戳使用口令和固定的密碼算法進(jìn)行加密，連同用戶(hù)名一同發(fā)送給業(yè)務(wù)平臺(tái)，業(yè)務(wù)平臺(tái)根據(jù)用戶(hù)名查找用戶(hù)口令進(jìn)行解密，如果平臺(tái)能恢復(fù)或接收到那個(gè)被加密的時(shí)間戳，則對(duì)解密結(jié)果進(jìn)行比對(duì)，從而判斷認(rèn)證是否通過(guò)；如果業(yè)務(wù)平臺(tái)不能獲知被加密的時(shí)間戳，則解密后根據(jù)一定規(guī)則（如時(shí)間戳是否在有效范圍內(nèi)）判斷認(rèn)證是否通過(guò)。靜態(tài)口令的應(yīng)用案例隨處可見(jiàn)，如本地登錄Windows系統(tǒng)、網(wǎng)上博客、即時(shí)通信軟件等。

創(chuàng)新互聯(lián)專(zhuān)注為客戶(hù)提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于成都做網(wǎng)站、網(wǎng)站設(shè)計(jì)、晉江網(wǎng)絡(luò)推廣、微信小程序開(kāi)發(fā)、晉江網(wǎng)絡(luò)營(yíng)銷(xiāo)、晉江企業(yè)策劃、晉江品牌公關(guān)、搜索引擎seo、人物專(zhuān)訪、企業(yè)宣傳片、企業(yè)代運(yùn)營(yíng)等，從售前售中售后，我們都將竭誠(chéng)為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供晉江建站搭建服務(wù)，24小時(shí)服務(wù)熱線：13518219792，官方網(wǎng)址：www.cdcxhl.com

基于靜態(tài)口令的身份認(rèn)證技術(shù)因其簡(jiǎn)單和低成本而得到了廣泛的使用。但這種方式存在嚴(yán)重的安全問(wèn)題, 安全性?xún)H依賴(lài)于口令，口令一旦泄露，用戶(hù)就可能被假冒。簡(jiǎn)單的口令很容易遭受到字典***、窮舉***甚至暴力計(jì)算破解。特別地，一些業(yè)務(wù)平臺(tái)沒(méi)有正確實(shí)現(xiàn)使用口令的認(rèn)證流程，讓用戶(hù)口令在公開(kāi)網(wǎng)絡(luò)上進(jìn)行傳輸，認(rèn)證方收到口令后，將其與系統(tǒng)中存儲(chǔ)的用戶(hù)口令進(jìn)行比較，以確認(rèn)對(duì)象是否為合法訪問(wèn)者。這種實(shí)現(xiàn)方式存在許多隱患，一旦記錄用戶(hù)信息的文件泄露，整個(gè)系統(tǒng)的用戶(hù)賬戶(hù)信息連同對(duì)應(yīng)的口令將完全泄露。網(wǎng)上發(fā)生的一系列網(wǎng)絡(luò)用戶(hù)信息被公開(kāi)到網(wǎng)上的現(xiàn)象，反映的就是這種實(shí)現(xiàn)方式的弊病。另外，這種不科學(xué)的實(shí)現(xiàn)方式也存在口令在傳輸過(guò)程中被截獲的安全隱患。隨著網(wǎng)絡(luò)應(yīng)用的深入化和網(wǎng)絡(luò)***手段的多樣化，口令認(rèn)證技術(shù)也不斷發(fā)生變化，產(chǎn)生了各種各樣的新技術(shù)。為了防止一些計(jì)算機(jī)進(jìn)程模擬人自動(dòng)登錄，許多業(yè)務(wù)平臺(tái)還增加了計(jì)算機(jī)難以識(shí)別的模糊圖形。

基于口令的身份認(rèn)證容易遭受如下安全***。

（1）字典***。***者可以把所有用戶(hù)可能選取的密碼列舉出來(lái)生成一個(gè)文件，這樣的文件被稱(chēng)為“字典”。當(dāng)***者得到與密碼有關(guān)的可驗(yàn)證信息后，就可以結(jié)合字典進(jìn)行一系列的運(yùn)算，來(lái)猜測(cè)用戶(hù)可能的密碼，并利用得到的信息來(lái)驗(yàn)證猜測(cè)的正確性。

（2）暴力破解。也稱(chēng)為“蠻力破解”或“窮舉***”，是一種特殊的字典***。在暴力破解中所使用的字典是字符串的全集，對(duì)可能存在的所有組合進(jìn)行猜測(cè)，直到得到正確的信息為止。

（3）鍵盤(pán)監(jiān)聽(tīng)。按鍵記錄軟件以***方式植入到用戶(hù)的計(jì)算機(jī)后，可以偷偷地記錄下用戶(hù)的每次按鍵動(dòng)作，從而竊取用戶(hù)輸入的口令，并按預(yù)定的計(jì)劃把收集到的信息通過(guò)電子郵件等方式發(fā)送出去。

（4）搭線竊聽(tīng)。通過(guò)嗅探網(wǎng)絡(luò)、竊聽(tīng)網(wǎng)絡(luò)通信數(shù)據(jù)來(lái)獲取口令。目前，常見(jiàn)的Telnet、FTP、HTTP 等多種網(wǎng)絡(luò)通信協(xié)議均用明文來(lái)傳輸口令，這意味著在客戶(hù)端和服務(wù)器端之間傳輸?shù)乃行畔ⅲò魑拿艽a和用戶(hù)數(shù)據(jù)）都有可能被竊取。

（5）窺探。***者利用與用戶(hù)接近的機(jī)會(huì)，安裝監(jiān)視設(shè)備或親自窺探合法用戶(hù)輸入的賬戶(hù)和密碼。窺探還包括在用戶(hù)計(jì)算機(jī)中植入***。

（6）社會(huì)工程學(xué)（Social Engineering）。這是一種通過(guò)對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等設(shè)置心理陷阱進(jìn)行諸如欺騙、傷害等手段，取得秘密信息的手法。

（7）垃圾搜索。***者通過(guò)搜索被***者的廢棄物（如硬盤(pán)、U 盤(pán)、光盤(pán)等），得到與口令有關(guān)的信息。

為了盡量保證安全，在使用口令時(shí)通常需要注意以下幾點(diǎn)：

（1）使用足夠長(zhǎng)的口令，不使用默認(rèn)口令；

（2）不要使用結(jié)構(gòu)簡(jiǎn)單的字母或數(shù)字，盡量增加密碼的組合復(fù)雜度；

（3）避免在不同平臺(tái)使用相同的口令，并且要定期更換口令。

為克服靜態(tài)口令帶來(lái)的種種安全隱患，動(dòng)態(tài)口令認(rèn)證逐漸成為口令認(rèn)證的主流技術(shù)。顧名思義，動(dòng)態(tài)口令是指用戶(hù)每次登錄系統(tǒng)的口令都不一樣，每個(gè)口令只使用一次，因而也叫一次性口令（OTP , One Time Password），具有“一次一密”的特點(diǎn)，有效保證了用戶(hù)身份的安全性。但是如果客戶(hù)端與服務(wù)器端的時(shí)間或次數(shù)不能保持良好的同步，就可能發(fā)生無(wú)法使用的問(wèn)題。OTP的原理是采用一類(lèi)專(zhuān)門(mén)的算法（如單向散列函數(shù)變化）對(duì)用戶(hù)口令和不確定性因子（如隨機(jī)數(shù)）進(jìn)行轉(zhuǎn)換生成一個(gè)一次性口令，用戶(hù)將一次性口令連同認(rèn)證數(shù)據(jù)提交給服務(wù)器。服務(wù)器接收到請(qǐng)求后，利用同樣的算法計(jì)算出結(jié)果與用戶(hù)提交的數(shù)據(jù)對(duì)比，對(duì)比一致則通過(guò)認(rèn)證；否則認(rèn)證失敗。通過(guò)這種方式，用戶(hù)每次提交的口令都不一樣，即使***者能夠竊聽(tīng)網(wǎng)絡(luò)并竊取登錄信息，但由于***每次竊取的數(shù)據(jù)都只有一次有效，并且無(wú)法通過(guò)一次性口令反推出用戶(hù)的口令，從而極大地提升了認(rèn)證過(guò)程的安全性。 OTP 從技術(shù)上可以分為3種形式：“挑戰(zhàn)—應(yīng)答”、時(shí)間同步和事件同步。
動(dòng)態(tài)口令的3種方式
（1）“挑戰(zhàn)—應(yīng)答”?！疤魬?zhàn)—應(yīng)答”認(rèn)證機(jī)制中，通常用戶(hù)攜帶一個(gè)相應(yīng)的“挑戰(zhàn)—應(yīng)答”令牌。令牌內(nèi)置種子密鑰和加密算法。用戶(hù)在訪問(wèn)系統(tǒng)時(shí)，服務(wù)器隨機(jī)生成一個(gè)挑戰(zhàn)并將挑戰(zhàn)數(shù)發(fā)送給用戶(hù)，用戶(hù)將收到的挑戰(zhàn)數(shù)手工輸入到“挑戰(zhàn)—應(yīng)答”令牌中，“挑戰(zhàn)—應(yīng)答”令牌利用內(nèi)置的種子密鑰和加密算法計(jì)算出相應(yīng)的應(yīng)答數(shù)，將應(yīng)答數(shù)上傳給服務(wù)器，服務(wù)器根據(jù)存儲(chǔ)的種子密鑰副本和加密算法計(jì)算出相應(yīng)的驗(yàn)證數(shù)，和用戶(hù)上傳的應(yīng)答數(shù)進(jìn)行比較來(lái)實(shí)施認(rèn)證。不過(guò)，這種方式需要用戶(hù)輸入挑戰(zhàn)數(shù)，容易造成輸入失誤，操作過(guò)程較為繁瑣。近年來(lái)，通過(guò)手機(jī)短信實(shí)現(xiàn)OTP驗(yàn)證碼用得比較廣泛。是目前主流的OTP驗(yàn)證方式，目前被廣泛用于交易系統(tǒng)以及安全要求較高的管理系統(tǒng)中。

（2）時(shí)間同步。原理是基于動(dòng)態(tài)令牌和動(dòng)態(tài)口令驗(yàn)證服務(wù)器的時(shí)間比對(duì)，基于時(shí)間同步的令牌，一般每60 s產(chǎn)生一個(gè)新口令，要求服務(wù)器能夠十分精確地保持正確的時(shí)鐘，同時(shí)對(duì)其令牌的晶振頻率有嚴(yán)格的要求，這種技術(shù)對(duì)應(yīng)的終端是硬件令牌。目前，大多數(shù)銀行登錄系統(tǒng)采用這種動(dòng)態(tài)令牌登錄的方式，用戶(hù)持有一個(gè)硬件動(dòng)態(tài)令牌，登錄到系統(tǒng)時(shí)需要輸入當(dāng)前的動(dòng)態(tài)口令以便后臺(tái)實(shí)現(xiàn)驗(yàn)證。近年來(lái)，基于智能手機(jī)的軟件動(dòng)態(tài)令牌逐漸受到青睞，用戶(hù)通過(guò)在智能手機(jī)上安裝專(zhuān)門(mén)的客戶(hù)端軟件并由該軟件產(chǎn)生動(dòng)態(tài)口令完成登錄、交易支付過(guò)程。

（3）事件同步。事件同步機(jī)制的動(dòng)態(tài)口令原理是通過(guò)特定事件次序及相同的種子值作為輸入，通過(guò)特定算法運(yùn)算出相同的口令。事件動(dòng)態(tài)口令是讓用戶(hù)的的密碼按照使用的次數(shù)不斷動(dòng)態(tài)地發(fā)生變化。每次用戶(hù)登錄時(shí)（當(dāng)作一個(gè)事件），用戶(hù)按下事件同步令牌上的按鍵產(chǎn)生一個(gè)口令，與此同時(shí)系統(tǒng)也根據(jù)登錄事件產(chǎn)生一個(gè)口令，兩者一致則通過(guò)驗(yàn)證。與時(shí)鐘同步的動(dòng)態(tài)令牌不同的是，事件同步令牌不需要精準(zhǔn)的時(shí)間同步，而是依靠登錄事件保持與服務(wù)器的同步。因此，相比時(shí)間同步令牌，事件同步令牌適用于非常惡劣的環(huán)境中，即便是掉進(jìn)水中也不會(huì)發(fā)生失步問(wèn)題。

基于口令認(rèn)證是目前使用最為廣泛的身份認(rèn)證技術(shù)，靜態(tài)口令認(rèn)證主要用于系統(tǒng)登錄時(shí)的身份驗(yàn)證如門(mén)戶(hù)網(wǎng)站、網(wǎng)上銀行的登錄。而在銀行支付、網(wǎng)上銀行轉(zhuǎn)賬、交易時(shí)一般采用靜態(tài)口令+動(dòng)態(tài)口令組合的方式進(jìn)行認(rèn)證。例如，在支付寶中交易時(shí)，支付寶系統(tǒng)要求用戶(hù)同時(shí)輸入支付口令及與該賬戶(hù)綁定的軟件動(dòng)態(tài)令牌。招商銀行在進(jìn)行低額度交易、轉(zhuǎn)賬時(shí)采用靜態(tài)口令與短信動(dòng)態(tài)驗(yàn)證碼，這種雙重保障的方式可以大大提高使用的安全性。