近来，信息泄露视频、新闻事件频频出现，勒索病毒、木马攻击、暴力破解等，这些手段全部指向一个问题，就是静态密码。接下来就为大家解析身份认证静态密码保护方式的安全性问题。

传统的帐号+静态密码已经无法保证账户的安全，静态密码一旦设定之后，除非用户更改，否则将保持不变。这也就导致了静态密码的安全性缺点，比如容易被猜测、字典攻击、暴力破解、窃取、监听、重放攻击、木马攻击等。

而互联网发展至今，随着账号的增加设置的密码难免相同，特别是当一个用户有几个甚至几十个密码需要处理时，造成密码记错和密码遗忘等问题，非常容易被攻击者在得知一个账号密码后在别的平台实施撞库，致使其他平台的信息遭遇泄露的风险。

为了从一定程度上提高静态密码的安全性，用户可以定期对密码进行更改，但是这又导致了静态密码在使用和管理上的困难，即使用户定期修改，密码也会有相当一段时间是固定的。从总体上来说，静态密码的缺点和不足主要表现在以下几个方面：

• 用“姓名＋数字”作口令，许多用户用自己或与自己有关的人的姓名再加上其中某人的生日等作口令。

• 账号密码的易用性和安全性互相排斥，两者不能兼顾，简单容易记忆的密码安全性弱，复杂的静态密码安全性高但是不易记忆和维护；

• 多个主机用同一个口令，将导致一个主机口令被窃从而影响多台主机的安全。

• 只使用一些小写字母作为口令，使得用字典攻击攻破的概率大增。

因此，静态密码机制虽然使用和部署非常简单，但从安全性上讲，静态密码属于单因素的身份认证方式，已无法满足互联网对于身份认证安全性的需求。

调查指出，公司员工多账号使用同一密码的情况高达60%（见图1），多账户使用同一密码更容易遭到黑客攻击，因为黑客可通过防御性较弱的网站获取密码信息，再登录到账户中进行信息窃取。调查显示，我国超七成被调查者存在多账号使用同一密码的问题，特别是青少年多账号使用同一密码的比例高达60%。

为了解决静态密码、弱口令等问题，身份认证方式是首当其冲的问题，作为安全的**道大门，是各种安全措施可以发挥作用的前提。在互联网应用的业务系统中采用的认证方式主要包括：动态令牌、生物识别方式、数字证书文件、数字证书Usbkey等。

双因素身份认证的原理

双因素是密码学的一个概念，从理论上来说，身份认证有三个要素：

**个要素（所知道的内容）：只有该用户知道、其他人不知道的某种信息，比如密码。

第二个要素（所拥有的物品）：该用户的私人物品，比如动态令牌、身份证、钥匙。

第三个要素（所具备的特征）：使用者本身拥有的惟一特征，例如指纹、瞳孔、声音等。

这些证据就称为三种"因素"（factor）。因素越多，证明力就越强，身份就越可靠。

双因素认证就是指，通过认证同时需要两个因素的证据。

银行卡就是最常见的双因素认证。用户必须同时提供银行卡和密码，才能取到现金。