第三章 用户认证

一、最原始的是基于口令的认证，而且内部也是用明文存储的，会遭受各种各样的攻击，一般都没人用，除非是在玩具程序中随便用用；更高级一点的是在内部存储的时候使用hash函数（加盐）对明文密码进行处理，linux、unix系统对用户密码就是这样管理的。
二、基于令牌的认证，比如什么智能卡、磁条卡、u盾之类的，相当于用户把自己的一个用于认证的秘密值固化到硬件中，现在的可信计算中有TPM这个东西，也是类似的思想。
三、生物特征认证，这个包括指纹、虹膜、行为特征等这些，前两者为代表的是比较固定，提取特征后就可以了，以最后为代表的是需要使用机器学习知识收集特征的，需要有一个学习的过程。
四、对于远程认证，其实还是基于上面三种认证方法进行的，但是要在这个基础上加上方式重放攻击、窃听、篡改等机制，比如加密认证链路、挑战应答、计算数据的hash值等。