這兩個字常常令人混亂,許多人不知道這兩個字所代表的意義其實完全不同,認證就是為了認出這個使用者是誰,而授權則是這個使用者能夠做到的事情。
今天若是攻擊者偽裝成為管理者的面貌而通過認證,理所當然他就會被賦予管理的的權限,這就是認證出了問題。
通常,大部分網站都採用單因素認證,即是只有一道關卡;若是採用多道關卡認證的方式,則稱為多因素認證。一般來說,多因素認證比較安全,但也通常會讓使用者感到厭煩。
密碼是最常見的形式,但密碼的強度在近年來可說是越來越被看重,通常在大型網站都會有密碼強度表供使用者參考自己所設立的密碼能否抵抗暴力攻擊,而根據 OWASP 推薦的密碼策略提供給讀者參考,如下:
長度上:
●至少6位數以上
●重要的網頁應用至少8位以上,並考慮雙因素認證
強度上:
●Case sensitive
●密碼中至少包含大、小寫字母、數字、特殊符號等組合
●不要有連續性, ex:123abcd
●避免重複, ex:1111
●避免使用公開的資訊或容易記憶的素材, ex:生日、英文名稱