如何保障 Web 應用程序驗證機制的安全

保障Web應用程序驗證機制的安全措施有以下這些：

• 網絡安全生物識別技術：“生物識別”字面意思是“測量生命”。生物識別技術指使用用戶的已知和記錄的物理屬性來認證其身份。這是比較保險的，因為沒有兩個人會擁有完全相同的身體特征。常見的生物識別認證方法包括指紋識別，語音識別，視網膜和虹膜掃描以及面部掃描識別。這種方法的缺點是它需要專門的掃描設備，這對某些行業來說不是特別現實。

• 令牌認證：令牌是用于訪問安全系統的物料設備。常見形式包括加密狗，卡或加密芯片。令牌使得黑客更難以訪問帳戶，因為他們必須擁有長憑證和有形設備本身，這對于黑客來說更難盜取。

• 交易認證：在將有關用戶的已知數據與當前事務的詳細信息進行比較時，事務認證會找出合理的錯誤。如果一個人住在國內，但是從海外的IP地址登錄時就會出現數據錯亂或提示認證身份。但這個方法的不便之處是需要更多步驟，以確保購買是合法的，并且用戶不是網絡犯罪的受害者。

• 多重身份認證：多重身份認證需要兩種或更多種獨立方式來驗證身份。比如包括用戶擁有的諸如電話或其他物理令牌之類的東西，諸如生物特征之類的固有因素或諸如密碼之類的已知因素。這樣網絡黑客即使破解了密碼，只要他得不到第二重驗證(手機里的驗證碼)，保密數據就還是安全的。

• 帶外認證：帶外認證使用完全獨立的通道(如移動設備)來驗證源自計算機的方法。任何需要從一個地方到另一個地方存款的交易，如大額匯款，都會在應用程序上生成電話，短信通知，要求完成交易需要更多的身份認證。通過兩個或更多個必要的保密認證渠道，黑客竊取資金就會困難得多。

• 靜態口令：口令又稱身份識別碼或通信短語，通過輸入口令進行認證的方法便稱為基于口令的認證方法。靜態口令是指用戶自己設定或改變口令，口令在一定時期內是不變的。認證過程中，以用戶名和口令為身份標識，只要輸入正確的口令，計算機就認為操作者就是合法用戶，這就是常用的用戶名/口令認證方式，是一種單一因素的認證。實際上，由于許多用戶為了防止忘記口令，經常采用諸如生日、電話號碼等容易被猜測的字符串作為口令，或者把口令抄在紙上放在一個自認為安全的地方，這樣很容易造成口令泄露。即使口令不被泄露，由于口令是靜態的數據，在驗證過程中需要在計算機內存中和傳輸，也可能會被木馬程序或網絡監聽工具截獲。因此，靜態口令方法從安全性上講是不安全的身份認證。

回答所涉及的環境：聯想（Lenovo）天逸510S、Windows 10。