クリアテキスト

　パスワードを平分でやり取りする。盗聴されたら終わり。
　当初ローカルでの認証のために設計されているのでネットワーク上で利用するにはあまりセキュアではない。
　POP3などに実装されている。

チャレンジレスポンス

　クリアテキストの脆弱性を解消したモデル。
　まず、クライアントがユーザーＩＤをサーバーに送信。
　つづいてサーバーからチャレンジコードが返信される。
　クライアントはパスワードとチャレンジコードからハッシュ値を生成。これを送信する。
　実装技術としてはＣＨＡＰがある。

S/KEY

　チャレンジレスポンス方式の応用。UNIXにて実装されている。
　前出の要素に加えてシーケンス番号を利用しており、その回数だけシード（チャレンジコード）とパスフレーズからハッシュ処理をしてワンタイムパスワードを作る。
　通信ごとにシーケンス番号が減るため、ゼロになるたびにパスフレーズの変更が要求され、よりセキュアなシステムとなっている。
　とはいえパスフレーズが漏洩すれば当分危険にさらされるので注意が必要。

時刻同期方式

　チャレンジコードではなく時刻をトリガーとする。
　クライアントはトークンにより時刻からパスワードを生成する。トークンはUSBキーなどのハードウェアやノードにインストールされたソフトウェアが利用される。
　パスワードが生成されたら、個人番号（PIN)とともにサーバーに送信して認証が行われる。情報は時刻とPINのみを材料とするため盗聴された場合もリスクが最小限に抑えられるのが特徴。ただし、時刻の同期が取れていないと機能しないのが弱点。

　さらに安全性を高めるため、PINもトリガーとしてパスワードに組み込む場合がある。
　もちろんこれもトークンが盗まれれば全て終わりだが、そんな状況では何をしても無駄であり、そういうあほな状況を避けることこそセキュリティ対策なのではないかと思う。
　（鍵をかけた。鍵を取られた。盗みに入られた。やばい鍵だけでは危険だ。・・・なんてね）

認証が突破される例

　・ユーザーの不注意でパスワード漏洩。
　・推測されやすいパスワードがブルートフォースなどで破られる。
　・ソーシャルハックによりパスワードが盗用される。

パスワード作成・管理要件

　まず第一に重要なのはパスワードが十分に複雑で第三者に類推されないことである。
　銀行の暗証番号を誕生日にするなという奴と同じ論理で、より高度なルールを設定する必要がある。
　また、一度作っておしまいではなくそれを各自が適切に管理する事も重要。

作成・管理要件の具体例

　自身の個人情報そのままはダメ
　十分に長く、辞書にある単語をそのまま使わない
　定期的に変更する
　他人に漏らさない
　紙に書いてモニタに張るなど容易に漏洩するような行為をしない
　
ただし、これらをあまり厳格に規定しすぎると利便性を欠くため注意が必要。
また、管理規定も各組織の特性に合わせる必要がある。
従来悪とされてきたパスワードのメモも、（それを厳重に管理するのであれば）長く複雑なパスワードを使うことを促進できるのでナイス！というような見方だってある。