啊，好古老的登录界面。没有这个界面，安全系统还能算得上完善吗？不管是网站登录界面还是Unix登录提示符，大多数系统的安全都完全依靠一个有效的用户名和密码来证明用户的身份。由于这通常是唯一的访问条件，所以很值得把你的身份验证安全系统放在放大镜下测试一下，看看能不能找出一些身份验证的弱点并看看他们如何拦截好奇的黑客。

　　黑客通过猜测常用的用户名和密码的方法来暴力进入一个系统是非常普遍做法。最好避免使用"admin"、"test"、"user"和任何默认的用户名。需要避免的常用密码有用户ID、"password"、"pass"和任何预设的密码。有些系统在登录失败时显示的信息让用户更容易发现一个有效的用户名。这些信息可能会说， “无效的用户ID”。这告诉黑客，他或她应继续猜测用户名。当一个有效的用户名被发现，恶意黑客就可以看到另一个提示信息，如，“密码无效。”理想的情况下，无论失败的原因，系统的登录失败的信息应该是通用的，如“无效的用户名和密码”。否则，黑客可以列举出有效的用户ID，并开始猜测密码，寻找到薄弱的一个。我们在下面要讲到的正是密码。
 
　　弱密码是认证系统的一个重要的安全弱点。如果可能的话，强制网络上的每一个系统，特别是网络边界上的系统遵循密码规则。密码和帐户的规则应至少需要混合字母和数字，并应指定最小密码长度，提供密码历史，帐户锁定和密码到期。如果可能的话，设置密码规则，不允许密码和用户名或者用户的名或姓相同，因为这些都容易猜到。我目标是迫使用户选择强密码。

　　要真正加强你的认证机制，你应该建立双因素或三因素认证系统。多因素验证意味着，用户身份验证必须提交至少两种不同类型的证书。有三类验证因素：“你拥有的”，“你知道的”，“你是什么”。认证机制的每个因素应来自不同的类别。换句话说，用户ID和密码仍只是单因素认证，因为这两个件事情都属于"你知道的"。一些有效的组合应是这样的：一个电子密钥和个人身份号码（PIN）配合，指纹识别和密码配合或者视网膜扫描仪和你的声音配合。

　　通过改善你的认证机制，黑客想暴力进入你的系统变得更加困难。除了多因素认证系统，上述建议的采用并不会让你增加太多成本，如果有的话。