令牌不是基于“所知”"/>
为什么令牌不是基于“所知”
在准备NISP考试时,遇到了这样一道题
鉴别的基本途径有三种:所知、所有和个人特征, 以下哪一 项不是基于你所知道的: ( )。
A. 口令
B. 令牌
C. 知识
D. 密码
正确答案:B
这是为什么呢?
然后我就查了一下
- 所知
- 所有
- 个人特征
这三者是构成多因素身份验证的三个类型
多因素身份验证MFA
MFA的目的是建立一个多层次的防御,使未经授权的人访问计算机系统或网络更加困难。
MFA是通过结合两个或三个独立的凭证:
用户知道什么(知识型的身份验证,密码口令等),用户有什么(安全性令牌或者智能卡),用户是什么(生物识别验证)。单因素身份验证(SFA)与之相比,只需要用户现有的知识。虽然密码口令身份验证很适合网站或者应用程序的访问,但是在网络在线金融交易方面还是不够安全.
- 用户知道什么——所知
- 用户有什么——所有
- 用户是什么——所是/个人特征
因此令牌属于“所有”而不是“所知”
可能有的同学对什么用户知道什么中的“知识型的身份验证”存在疑问
这里有一篇文章:FIDO|新赛道已成形,大力推进无密码身份验证
其中有一段:
传统的多因素身份验证依赖基于知识的因素。任何位于服务器上的数据,或任何基于知识的因素都有可能被盗取。就如上面所说,暗网上有不计其数的凭证可供出售,而且人们在设置密码时通常会把一个密码用在不同的网站上,这些都是不可控的情况。精心设计的网络钓鱼攻击成功率可达40%以上。让员工或消费者充当影子IT团队也不太现实,因此有必要将这些人为因素排除在外。
由此可见,知识型的身份验证可以理解为:包括密码、口令等与用户相关、可用于身份验证的个人信息
更多推荐
为什么令牌不是基于“所知”
发布评论