1. 你知道什么？

2. 你拥有什么？

3. 你是什么？

第一个，就衍生出了基于口令的登录认证方法，第二种，就出了智能卡和安全令牌。第三种，就出了生物认证。但是后两种在大规模消费电子产品应用时，总是会遇到各种的实际问题，解决起来费钱费事。于是乎，还是用户名加口令的方式最为大行其道。

但是，第一种方式，让人（特别是让我）有些深度的审美疲劳。首先，从实际应用角度讲，口令就代表了一切。所以针对口令发动攻击，就可以导致整个安全系统的根源性崩溃。虽然口令方案有着眼花缭乱的应用实践和理论算法，但是针对实际口令攻击行为的防范效果并不好。最重要的两种攻击方式，keyLogger和phishing，都是让实际应用防不胜防的黑枪。其二，为了保障口令的安全性，防止社会工程学攻击和多米诺效应，口令应该足够难记，不同的网站和应用需要有不同的口令。我勒了个去！人又不是机器，怎么可能记住网络时代上百上千种应用的不同火星文密码，这是对人类行为体验的赤裸裸挑战。

应该有更好的方法，得到更好更安全的人机交互良好的身份认证方法。毕竟，口令这个东西，其实也是在计算机时代之后才广泛应用的，是属于计算机早期，将就计算机处理的妥协产物。现在都已经用了近30年，是应该想办法变变。更何况，那么多新型交互产品（如iPad）已经没有那个可恶的键盘了。