你还在使用密码登录吗？作为一个最直接、容易理解以及使用最广泛的认证方式，使用
密码认证可以满足大部分的需求，但是有很多明显的缺点，易于猜解，长度过长又会对想要
记住密码的人造成困扰。 而且，如果只是自己用用的机器，每一回开机都要输入一次密码，
就比较烦人了；如果不设置密码，又不希望自己的舍友把系统搞乱。而且最重要的一点是，
使用密码不够cool，没有操作感……  

关于卡的选择
 
  笔者自己的本本是Dell Latitude D630，集成了一个智能卡读卡器（O2Micro Oz776)。
这么一个跟安全相关的利器，却一直没有得到有效的利用，于是决定利用起来。查了很多资
料以后，发现最标准的用法是买一片带有公开密钥算法计算能力的CPU智能卡，私钥在智能
卡上生成、存储，无法读出，签名、解密需要跟智能卡通信来实现，这样私钥不会出现在智
能卡以外的地方，即使截获了它们的通信也什么都干不了（跟 SSL 原理一样），所以无论如
何签名、解密总是需要这一张卡。恩，听起来很诱人，但是这种智能卡在国内是不太可能买
到的，即使能买到￥150+一张的价格也不是我们这种想烧烧包就拉倒的人能够承受的了的。 
  于是我把目光盯上了安全性不高，但是相对便宜（￥2-3/张）的存储卡。这一类卡通常
有几百个字节到几个 KB 的存储容量，用来保存一个认证标记是绰绰有余了。于是作者在没
有多少知识的情况下，买了两次。第一次是一堆24C02 卡，因为说这种卡是任意读取的，没
有限制，想简化设计于是选择了这个。结果买回来以后，根本就无法加电……后来发现这种
卡就是一片 EEPROM 芯片封装成卡的样子，针脚定义跟智能卡标准都不兼容，尽管有能读这
个样的卡的读卡器，但是我的不行…… 后来又发现跟标准兼容的 SLE4428 卡，买了一堆回
来以后，我的读卡器还是不认…… 这次是真的不理解了，到网上发问，得到的回答是 

“O2Micro readers are known to be troublesome"。结果是，￥100让我打了水漂，父母
那里再也没法有经费了，还不停地抱怨说这些钱可以买多少吃的。
  看来我的读卡器只能跟CPU卡打交道了，可是到哪里可以找到廉价的CPU卡呢？不经意
间看到的我的手机……SIM卡！这个我的读卡器是可以读出来的，而且也属于CPU 卡的，只
是没有 RSA之类的高级功能了。SIM卡是可以保存一些信息的，比如电话号码本、短信都可
以存储到 SIM 卡中，那我们就借用一下短信的地方，存放认证标记了。

关于 PAM
 
 PAM 的全称叫做Pluggable Authenticate Modules，即“可插入式认证模块“。虽然叫  

“认证”模块，但是实际上它管着四部分： auth （认证：如果你是a，请证明你是a）， account
（账户管理：a 你不能在这个时候登录），password（更改密码），session（登录之前和之
后的环境设定和清理）。“pluggable“的意思是，可以组合多个插件来实现特定的功能。比
如，pam_unix.so 实现了基于/etc/shadow 的认证、密码修改、环境设定（比如根据
/etc/passwd中的 shell列来启动相应的shell），但是除了这个他就不管其他的了。比如，
root可以登录的“安全终端“是由 pam_securetty.so负责的。如果要求这些限制同时成立
或者有一个成立就通过，通过 pam 的配置文件来配置，这些配置文件通常在/etc/pam.d 里
面。
  每一个插件都是一个shared object，提供哪些功能，就有哪些函数。比如，实现了auth
就会有 pam_sm_authenticate函数，对应着应用程序这边的pam_authenticate函数。
  从程序的角度来说，流程大概是这个样的：
  应用程序发起请求(pam_authenticate) ==> PAM根据参数中指定的service，读取相应
的配置文件  ==> 调用 a.so 的 pam_sm_authenticate 函数 ==> 调用 b.so 的
pam_sm_authenticate 函数==>...==>PAM 根据配置文件和各个插件的返回值综合得出认证
是成功还是失败==>返回给应用程序。其中，各个模块还会使用应用程序在 pam_start 函数
中提供的通信函数来获取必要的信息（比如密码）。