cissp密码的好处

  为了帮助大家更好的理解上述的三种身份验证因素，并理解一些关键的名词，下面J0ker将详细的介绍三种身份验证因素中常见的技术实现及其特点： 　　

  用户已知道的凭证：在这种身份验证因素中，最常见的技术实现便是密码(Password)，密码是一个保密的单词(或一个字符串)，用户可以通过提供正确的密码，确认自己的身份并获得对系统及信息资源的访问权限。

  密码的优点便是容易部署和使用，密码也是几乎所有的信息系统所默认支持的身份验证方法，但密码的缺点和它的优点一样显著，密码的保密性很弱，用户常常会为了记住复杂的密码，而将密码写在纸上，贴到容易被其他人发现的屏幕旁边或键盘底下;有的用户也会为了好记而使用容易被猜解的密码。

  因此，由于密码保护很容易被破坏，密码身份验证方式并不被认为是一种足够安全的身份验证方法。为了克服单纯使用密码所带来的身份验证风险，一个被称为密码短语(Passphrase)的概念被引入到身份验证技术中。密码短语和密码并无实质上的不同，它们都是一个指定长度的字符串，它们之间唯一的区别是用户的理解上——密码这个单词看起来鼓励用户使用简单并且好记的单词，而密码短语看起来则是鼓励用户使用一个更复杂的短语。

  如，一个标准的密码短语可以从任意意义的句子或者成语中获得，如一个来自于”To be or not to be“的密码短语可以是TOBEORNOTTOBE。尽管密码短语要比密码的强度更高，但攻击者仍然可以轻易的使用自动化的密码破解工具来破解一个强度不够的密码短语。 　　

  密码短语也常常作为加密算法的密钥使用。在这种情况下，密码短语和密码的区别在于长度，密码的长度通常为6至8位，而密码短语则根据加密算法的不同，常常可以达到100多位甚至更长。

  在访问实体(用户、进程等)为了访问信息资源提供了自己独特的身份识别信息后，信息系统需要通过一定的技术手段来确认访问实体是否和其所提供的身份识别信息所符合，这个过程，便是J0ker将要介绍的身份验证(Authentication)过程