根據口令的認證方法是一種單因素的認證,它的安全性依賴於密碼。每個用戶只要能夠正確輸入密碼,計算機就以為操作者就是合法用戶。實際上,因為許多用戶為了防止忘記密碼,常常選用比如生日電話號碼等簡單被猜想的字符串作為密碼,或把密碼抄在紙上放在一個自以為安全的地方,這樣容易使密碼泄露。

由於密碼是靜態的數據,每次驗證運用的驗證信息都是相同的, 在驗證過程中需要在計算機內存中和網絡中傳輸,因而也很簡單被潛藏在計算機中的木馬或網絡中的監聽設備截獲；因此常規的口令即便能保證用戶密碼不被泄露。

有些用戶一般是把口令顺利获得加密後放在口令文件中,假如口令文件被盜取,那麼就能夠進行離線的字典攻擊。因而,從安全性上講,用戶名/密碼方法是一種極不安全的身份認證方法。根據口令的認證方法的改進考慮以下幾個方面:

(1)儘可能地選用易記、難猜、抗分析能力強、能較好地抵抗離線字典攻擊和在線字典攻擊的口令。修正口令掛號程序以便促運用戶運用更加冷僻的口令,這樣就進一步削弱了字典攻擊。

(2)對口令的存儲加密,儘可能地選用Hash散列值方式存儲口令。

(3)選用動態口令認證技術。

①口令表認證技術。

口令表認證技術是要求用戶给予一張記錄有一系列口令的表,並將表保存在系統中,系統為該表設置了一指針用於指示下次用戶登錄時所應運用的口令。

這樣,用戶在每次登錄時,登錄程序便將用戶輸入口令與該指針所指示的口令相比較,若相同便答應用戶進入系統,一起將指針指向表中的下一個口令。

因而,運用口令表認證技術,即便攻擊者知道本次用戶登錄時所運用的口令,他也無法進入系統。

②雙因子認證技術。

一般運用的計算機的口令是靜態的,也就是說在一定的時刻內是不變的,並且能夠重複運用。口令極易被網上嗅探劫持,並且很簡單遭到字典攻擊。