CISSP的成长之路（二十一）：用户持有凭证

　　在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《讲解身份验证过程》里,J0ker给大家介绍了用户验证时所依赖的三种验证要素、密码和密码短语及其安全使用原则。作为技术实施难度和成本最低的用户验证方案，基于密码的用户验证方案广泛应用于我们的日常生活和工作中。但由于密码本身的脆弱性，很容易被攻击者所破解或窃取，因此，在高安全级别的系统中，往往会在使用密码验证的基础上，再增加其他的验证手段，以增强系统的安全性——这便是本文要介绍的用户所有的凭证（Something you have）和下一篇文章要介绍的用户生物特征（Something you are）这两种用户验证手段。

　　用户所有的凭证，和传统的密码方式最大的不同在于，用户所有的凭证，对用户来说是他所有的一个物品，用户不需要了解它们具体是怎么运作的，只需要在系统要求用户进行身份验证时提供它们即可。大家可能会觉得J0ker这样说有点抽象，举个简单的例子，用户要进入一个有警卫看守的房间，如果只需要对上暗号而不需要警卫验证用户的其他属性就能进入，就是传统的密码方式。如果用户对上暗号之后，警卫还需要用户提供自己的工作证或者钥匙才能进入，这就是使用用户所有的凭证的验证方式，更进一步的，按照规定用户还必须是警卫认识的人，用户才能进入，这就是用户生物特征的身份验证方式。因此，用户所有的凭证，也就相当于用户进入系统的钥匙。

　　用户所有的凭证按照存在的形式还可以分成逻辑存在和物理存在： 逻辑存在的用户所有凭证通常是保存在用户的系统中，在使用时自动或由用户手动提交给验证系统，这种存在形式的用户所有凭证常见的有各种数字证书、某个包含有特殊字符或内容的文件，或者软件实现的Token一类的产品等。而物理存在的用户所有凭证则包括一次性密码（OTP）、存储卡和智能卡等，因为逻辑存在的用户所有凭证有被攻击者复制利用的风险，因此，物理存在的用户所有凭证在安全上要比逻辑存在的更胜一筹。