电子邮件身份验证的方法

在访问电子邮件等内容时，我们应该已经熟悉用户名和密码问题形式的身份验证（authentication）。因此，让我们以此为例来说明身份验证和身份标识之间的区别。

身份标识（identification）是描述实体唯一性的概念。例如，电子邮件地址是登录电子邮件账户时的身份。

身份验证（authentication）是证明自己是所称的人的过程。当访问我们的电子邮件时，声称自己的电子邮件地址，并且需要提供或者至少知道与该身份相关联的密码，以证明我们是此用户。

那么，我们可以做些什么来确保只有我们能够识别和验证自己的电子邮件帐户呢？

1.我们可以先确保我们使用的是强密码，例如通过数字、大小写字母和特殊字符（如标点符号），使密码更长、更复杂，从而确保密码强大。

在信息安全中有一个非常重要的概念：在安全性和可用性之间通常存在权衡。比如说，更容易记住的更好用的密码可能会不太安全，而更安全的密码则或许更难记住。这一概念适用于许多其他安全有关的主题，而不仅仅是密码。

我们可以将安全性视为风险缓释，当涉及到风险缓释时，不可能完全消除风险。所能做的最好的就是了解系统面临的风险，采取措施降低这些风险，并对其进行监控。这样想一想，最安全的计算机系统是一个与所有东西都断开的系统，包括网络，甚至电源，并被锁在地下数百英尺的混凝土掩体中，没有人可以访问。虽然这是一个非常安全的机器，几乎不可能妥协，但它基本上是无用的，因为它已经断电，没有人能够访问它。这是一个安全性与可用性权衡的极端例子，但我们可以从中理解这个权衡的概念。

2.我们显然需要找到某种中间点，在此有一个相当安全的密码，也相对容易记住。例如，替换一个我们熟悉的单词中的某些字母，用与字母相似的数字加以代之，以帮助记忆。实际上我们也应该警惕这个数字替换的过程，因为它也是攻击者和密码破解工具所熟知的方式。

3.采用良好的密码策略（passwordpolicy）是确保员工使用强密码保护其账户的关键。一个好的密码策略系统将强制执行长度要求、字符复杂性，并检查字典单词（易削弱密码的强度）的存在。密码不应以明文形式写下或记录，不应在账户间重复使用，也不应与任何人共享。密码重复使用是一种风险，因为如果密码被泄露，使用相同密码的其他账户也将面临风险。共享密码也应是禁止的，因为这会破坏身份标识，其他人可以以该用户身份登录。

4.除了要求使用强密码外，还建议使用密码轮换策略（passwordrotationpolicy），因为它可以防止潜在的未检测到的泄露密码。但重要的是，密码轮换周期不要太短。为什么？频繁地更改密码带来的不便实际上可能会助长用户的不良安全行为。假设账户要求创建高度复杂的密码，并每三个月更改一次，很大一部分用户很可能会在便利贴或手机上写下自己的密码。尽管这项政策旨在提高安全性，但实际上却可能有相反的效果，因为它给用户带来了不便。