密码 (认证)

密码（认证）是用于准入或访问控制的字符串。

与此密切相关的是密码，它不强调传递，而是强调作为共享秘密的标识符。

由于计算机可以快速尝试密码，像密码（认证）这样的单个单词变得太不安全了，在某些地区建立了术语密码或密码短语以强调需要更长的密码。

关键字和码字（也称码字）很少使用。

个人识别码 (PIN) 是一种密码 (认证)，通常完全由数字组成。

在计算世界中，密码通常与用户名结合使用，以针对 IT 系统（例如网站）进行身份验证。 用户通常可以自由选择密码（认证），而密码（认证）准则往往限制可能的密码。 有些系统还会自动生成密码。

密码用于许多领域，例如作为家长控制的一个元素，以拒绝儿童访问电视、接收器或不适当的节目内容。

除了识别人的任务外，密码还用于证明某些授权：任何知道密码（认证）（正确的代码）的人都被认为是授权的。

以这种方式表明自己身份的人的真实性只有在密码 (认证) 保持秘密的情况下才能得到保存，即它不为第三方所知。 密码（认证）与其用户之间的连接必须单独建立和检查（例如，由银行在（依法）特别保护免受操纵的帖子上）。

最简单的程序是在一组明确定义的同修中就一个众所周知的密码 (认证) 达成一致。 在 IT 技术中，人们谈到“共享秘密”。 这种方法的本质是所有的通信伙伴都知道同一个“正确”的密码（认证）。 此程序的一个缺点是，在密码 (认证) 背叛的情况下，所有相关人员都必须同样怀疑没有秘密处理密码 (认证)。 此外，在密码（认证）为人所知后，所有通信伙伴必须就新的密码（认证）达成一致。

密码的通常用例是密码 (认证) 与一个人相关联，并且该人对密码 (认证) 保密。

一次性密码只能使用一次进行身份验证，然后就失效了。 这样，如果密码 (认证) 在身份验证过程中被窥探，也没有什么坏处。 传统上，多个一次性密码被保留并记录在一个必须保持安全的列表中。 例如，此类一次性密码用作在线银行业务中的交易号码 (TAN)。 但是，它们也可以在使用前生成，包括时间和 PIN，并且只适合在几分钟内使用。

存储密码时，自 1975 年以来最先进的技术是不存储密码 (认证) 本身。 明文密码最好保存在一个人的脑袋里。 相反，加密散列是根据密码 (认证) 计算的，然后将其存储在密码 (认证) 的位置。 如果现在使用密码 (认证) 进入系统，则会为输入的密码 (认证) 再次计算哈希值。 如果此散列与存储的散列匹配，则授予访问权限。

加密散列的计算方式使得密码 (认证) 无法根据散列的知识在现实时间中计算回来。 这意味着管理员或攻击者在发生数据泄漏时无法直接读取密码 (认证)。 但是，您仍然可以检查已知密码及其哈希值的数据库，以查看密码 (认证）包括在内。 为了防止这种情况，在计算哈希时，在密码（认证）中加入一个随机值，即所谓的盐。

如果攻击者获得散列密码 (认证)，他可以通过系统的试错法尝试猜测密码 (认证)。 为了减慢这种猜测，使用了一种特殊的哈希函数，它有意需要大量的计算时间和内存（密码（认证）派生函数）。这使得集体尝试密码变得昂贵且缺乏吸引力。 它还会减慢实际服务器上对密码 (认证) 的合法检查，但这在大多数系统上并不重要。 如果密码 (认证) 检查花费的时间少于十分之一秒，则表明该系统不是最先进的。

密码 (认证) 的安全性主要取决于两个因素：

• 密码 (认证) 必须保密。
• 密码 (认证) 一定不容易猜到。

仅使用一次的身份验证密码可提供最大的安全性。 每次重复使用密码 (认证) 都会增加在未加密传输或间谍措施（例如通过键盘记录或网络钓鱼）期间泄露密码 (认证) 的风险。 由于密码是永久有效的，因此通过这种方式获得的密码可以重复使用，而交易号只能使用一次。

出于这个原因，需要定期更改密码。 然而，反对这一要求的一个论点是，人们很难每 3 个月记住一个新密码 (认证)。 在实践中，经常会发生这样的密码以每 3 个月增加 1 的数字结尾。 此过程不会显着增加密码 (认证) 的安全性，因为一旦密码 (认证) 已知，就可以推断出未来的密码。

密码（认证）从用户到系统的传输应该是安全的，例如通过使用加密通道进行传输。 这使得攻击者几乎不可能在实施安全且加密足够强大的情况下找出密码 (认证)，因为当今计算机的计算能力远远不足以在合理的时间内破解现代加密。

密码不应该写下来，但最好只存储在授权人的头上。 这就要求密码（认证）容易记住。 然而，这与所有未经授权的人都不得通过猜测来找出密码（认证）的事实相冲突。 在这个冲突领域，密码（认证）指南试图找到一个务实的折衷方案。

密码（认证）不得以纯文本形式存储。