Как подтвердить, что пользователь - это тот, за кого он себя выдает?
Существует три метода проверки подлинности (и множество их комбинаций):
- Что пользователь знает. Некий общий секрет, который знает и тот, кого проверяют, и тот кто проверяет. Как правило, это пароль.
Стоит чукча на посту, навстречу идет другой чукча. Первый говорит: — Скажи пароль! — Пароль! — Проходи!
пример не очень удачной реализации проверки подлинности по паролю
- Что пользователь имеет. Некий материальный предмет (ключ, банковская карта, пропуск) или нематериальный (специальный файл).
когда не прошел проверку подлинности по ключу
- Кем пользователь является. Проверка физических параметров самого пользователя: отпечаток пальца, радужка глаза и пр. Также называется "биометрия". Считается более удобным, но менее надежным в связи с возможностью ложных срабатываний.
Для большей надежности широко используются также различные комбинации. Например, карта и пин-код, или пароль и код из SMS.
Телефон одного из авторов поддерживает вход по отпечатку пальца, но каждые 72 часа, а также после каждой перезагрузки просит ввести пароль.