下面我把現存幾乎所有(或常見)識別使用者身份的方法做一個系統化、分類且說明簡潔的總覽,方便你快速查閱與比較。每一類下列出具體技術/手段、優缺點與典型應用場景。
1. 傳統知識型(Something you know)
密碼 / PIN:靜態密碼、短碼(PIN)。
優:實作簡單、普及。缺:易被竊取、重用攻擊、弱密碼。
知識性驗證(KBA):靜態(母親姓名)或動態(基於資料庫的問題)。
優:用於線上身份恢復。缺:公開資訊易被猜中或社交工程攻破。
2. 所有物/持有型(Something you have)
一次性密碼(OTP):SMS、Email、TOTP(Google Authenticator 類)或 HOTP。
優:簡單加強;缺:SMS 易被 SIM swap 攻擊或攔截。
推送通知認證:手機 app 推送登入批准。
優:用戶體驗佳;缺:需手機/網路。
硬體代幣 / 安全金鑰:USB/NFC 安全密鑰(如支援 FIDO/U2F/WebAuthn 的實體鑰匙)。
優:高度安全,抗網釣。缺:成本、遺失風險。
智慧卡 / 晶片卡 / POS token:企業環境、政府身分卡(帶晶片)應用多。
X.509 客戶端憑證 / PKI:瀏覽器或系統存放的證書。
優:強身分驗證與非否認性。缺:憑證管理複雜。
3. 生物識別(Something you are)
生理生物識別:指紋、臉部辨識、虹膜/角膜掃描、掌紋、靜脈辨識。
優:便利;缺:隱私、可逆性(生物特徵不能更換)、偽造與反欺騙問題。
行為生物識別:打字節奏、滑鼠軌跡、手機使用模式、步態(gait)、觸控壓力。
優:可做被動或持續驗證;缺:需要長期資料、有誤報/漏報問題。
4. 裝置 / 瀏覽器指紋(Device & Browser Fingerprinting)
Cookie / LocalStorage / IndexedDB 標識:會話識別、持久識別。
瀏覽器指紋:User-Agent、字型、插件、畫布指紋、時區等組合成唯一指紋。
優:無需用戶主動參與。缺:隱私爭議、易被清除/變更或規避(反指紋化)。
裝置指紋 + TPM 或硬體認證(裝置註冊):使用 TPM/硬體錨定安全註冊的裝置證明。
5. 公鑰 / 加密憑證(Cryptographic)
SSH 公私鑰、PGP 金鑰:常用於程式與人員的身份驗證與簽章。
FIDO2 / WebAuthn(公私鑰離線簽章):現代強認證標準(支持生物或硬體金鑰)。
零知識證明 / 可驗證憑證(ZKP, anonymous credentials):在不暴露敏感資料下證明屬性(例如年齡大於18)。
適用於隱私保護場景與去中心化身份系統。
6. 聯合/委派式身份(Federated & Social Login)
OAuth / OpenID Connect / SAML:用第三方(Google、Facebook、企業 IdP)驗證後委派登入。
優:降低用戶管理與密碼負擔。缺:依賴第三方、隱私與集中風險。
7. 實體憑證與文件驗證
身份證/護照/駕照 檢視與驗證:真人核驗或 OCR + AI 驗證文件真偽。
用於 KYC、金融、租賃等需要法定身份的場景。
面對面核驗 / 視訊核驗(liveness check):真人核對文件與活體確認。
8. 網路/位置因素(Contextual / Location)
IP 地址、地理位置 (GPS / triangulation):用於風險評估或地理限制。
優:簡單、即時。缺:VPN/代理與高變動性。
時區、網路特徵、Wi-Fi 指紋、基地台信息:進一步強化位置校驗。
9. 風險/情境式與持續驗證(Risk-based & Continuous Auth)
風險評分引擎:合併行為、裝置、位置、IP、時間(異常登入檢測)做動態決策(要求 MFA、阻止或標記)。
持續認證:登入後持續監測行為以偵測竄改或接管(例如異常操作即中斷會話)。
10. 多因素認證(MFA / 2FA)
任何上述兩種或多種方法的組合(密碼 + OTP、密碼 + 生物 + 裝置金鑰等)。
標準做法以降低單一點被攻破風險。
11. 社會與關係圖譜方法
社交圖譜驗證:根據朋友/聯絡人網路判斷身份可信度(社交恢復、信任網)。
常見於去中心化或社交平台的恢復機制。
12. 去中心化身份(DID / Self-sovereign identity)
去中心化辨識 (DIDs)、區塊鏈 / 分散式認證憑證:使用可驗證憑證與分佈式賬本作為認證根。
優:用戶掌控、抗審查;缺:生態與互操作性仍在發展。
13. 行動/電信級驗證
SIM-based authentication / Mobile Connect:用電信運營商作為身份中介(SIM 驗證、基於 IMSI)。
優:在某些地區很方便;缺:SIM swap 風險。
14. 人工 & 監督式方式
客服人工核驗 / 語音確認 / 電話回撥:常在高風險或無其他自動手段時使用。
合規性 KYC 服務:第三方提供文件驗證、反洗錢背景檢查等。
15. 其他或先進/研究中方法
腦電波(EEG)或神經生物特徵(研究階段)
量子憑證/量子安全簽章(正在演進)
基於社群聲譽、信用或行為歷史的驗證
可驗證計算/可證明執行環境(TEE/SGX)做遠端憑證
---
實務建議(如何選擇)
1. 風險分層:把不同安全等級對應不同驗證強度(低風險:單因素;高風險:多因素 + 硬體金鑰 + 人工核驗)。
2. 優先使用公鑰/無密碼方案(WebAuthn/FIDO2):抗網釣且用戶體驗佳,是現代推薦做法。
3. 避免僅靠 SMS OTP 作為唯一第二因素(因 SIM swap 風險)。
4. 採用風險式/情境式認證策略:結合裝置指紋、位置與行為以降低誤判與摩擦。
5. 隱私合規:生物資料與 KYC 文件屬高度敏感資料,存取/保留/刪除要符合法規與最小化原則。
6. 備援與恢復:設計安全且可用的帳號恢復流程(避免過度依賴可被社工破解的 KBA)。
---
如果你要,我可以:
幫你把上述方法轉成 比較表(優缺點/成本/實作難度/典型場景)(CSV 或表格);或
根據你的應用場景(例如:金融級、企業內網、消費性 app、政府服務)推薦具體的認證架構與流程(包含哪些技術要合併、Session 管理、風險閾值建議)。
你要我接著把哪一種輸出做成表格或設計建議?
阿摩線上測驗
登入