为什么令牌不是基于“所知”

令牌不是基于“所知”"/>

为什么令牌不是基于“所知”

在准备NISP考试时,遇到了这样一道题

鉴别的基本途径有三种：所知、所有和个人特征， 以下哪一 项不是基于你所知道的： （ ）。

A. 口令

B. 令牌

C. 知识

D. 密码

正确答案：B

这是为什么呢?

 然后我就查了一下

• 所知
• 所有
• 个人特征

这三者是构成多因素身份验证的三个类型

多因素身份验证MFA

MFA的目的是建立一个多层次的防御，使未经授权的人访问计算机系统或网络更加困难。

MFA是通过结合两个或三个独立的凭证：

用户知道什么(知识型的身份验证,密码口令等),用户有什么(安全性令牌或者智能卡)，用户是什么(生物识别验证)。单因素身份验证(SFA)与之相比，只需要用户现有的知识。虽然密码口令身份验证很适合网站或者应用程序的访问，但是在网络在线金融交易方面还是不够安全.

• 用户知道什么——所知
• 用户有什么——所有
• 用户是什么——所是/个人特征

因此令牌属于“所有”而不是“所知”

可能有的同学对什么用户知道什么中的“知识型的身份验证”存在疑问

 这里有一篇文章:FIDO｜新赛道已成形，大力推进无密码身份验证

其中有一段:

传统的多因素身份验证依赖基于知识的因素。任何位于服务器上的数据，或任何基于知识的因素都有可能被盗取。就如上面所说，暗网上有不计其数的凭证可供出售，而且人们在设置密码时通常会把一个密码用在不同的网站上，这些都是不可控的情况。精心设计的网络钓鱼攻击成功率可达40%以上。让员工或消费者充当影子IT团队也不太现实，因此有必要将这些人为因素排除在外。

由此可见,知识型的身份验证可以理解为:包括密码、口令等与用户相关、可用于身份验证的个人信息