● 84 entries
身份与访问
- 安全消息应用默认采用端到端加密、身份验证和前向保密的通信应用,只有参与者本人可以读取消息。
- 不可能旅行检测检测同一身份连续登录的地理位置是否在两次时间间隔内无法以合理方式抵达的安全机制。
- 持续认证一种在整个会话期间持续利用行为与设备信号验证用户身份的认证方式,而非仅在登录时进行一次性认证。
- 持有因素 (你所拥有的)基于用户持有的物理或加密对象的认证因素,例如硬件令牌、智能卡、认证器应用或注册的手机。
- 单点登录 (SSO)一种认证方式,用户在可信的身份提供方完成一次登录后,即可访问多个应用而无需再次输入凭据。
- 端到端加密 (E2EE)一种加密模型,只有通信的两端持有密钥,中间服务器和网络运营商均无法读取明文。
- 多因素认证 (MFA)在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
- 访问令牌(Access Token)由授权服务器签发的短期凭据,客户端向 API 出示后即可代表用户或服务访问受保护资源。
- 分级提升认证 (Step-Up)一种在用户执行比当前会话原本被授权的更高风险操作时,要求附加或更强认证因素的模式。
- 服务账户由应用程序、脚本或服务使用的非人类身份,通常用于在没有交互登录的情况下向其他系统进行认证。
- 固有因素 (你本身)基于用户生物特征的认证因素,例如指纹、人脸、虹膜、声音或键入节奏。
- 会话管理用于颁发、维护、刷新和吊销已认证会话的一组控制措施,将用户身份与后续请求绑定,直至注销或过期。
- 会话回放一种 UX 分析技术,会记录真实用户会话中的 DOM、点击、滚动与按键,以便事后回放与分析。
- 会话令牌(Session Token)认证成功后签发的不透明标识符,客户端在每次请求时回传,使服务器能查询用户的会话状态。
- 机器身份用于认证并与其他系统建立信任的非人类实体(工作负载、设备、容器或 API 客户端)的加密身份。
- 基于 HMAC 的一次性密码 (HOTP)RFC 4226 定义的基于事件的一次性密码算法,根据共享密钥与一个单调递增的计数器生成短码。
- 基于风险的认证 (RBA)一种为每次登录实时计算风险分数,并据此决定放行、挑战或拒绝的认证策略。
- 基于角色的访问控制(RBAC)一种将权限授予角色而非直接授予用户的授权模型,用户通过被指派到角色而继承相应权限。
- 基于时间的一次性密码 (TOTP)RFC 6238 定义的一种一次性密码算法,根据共享密钥和当前时间生成短码,每 30 秒刷新一次。
- 基于属性的访问控制(ABAC)一种通过对主体、资源、操作和环境属性进行策略评估,来决定是否允许访问请求的授权模型。
- 即时访问(JIT)一种仅在限定时间和特定任务范围内授予敏感或高权限,并在到期后自动撤销的访问模型。
- 可验证凭证 (Verifiable Credential)由一方对主体作出的、防篡改且经密码学签名的陈述,采用 W3C 可验证凭证数据模型表示。
- 口令短语由多个单词或字符组成的较长认证秘密,通常因熵高且便于记忆而被采用,而非追求字符复杂度。
- 联合身份一种架构,不同组织或安全域通过共同信任的身份提供方,让用户使用同一份身份跨域访问各种系统。
- 令牌冒用(Token Impersonation)Windows 上的提权技术(MITRE ATT&CK T1134),攻击者复制现有访问令牌并以另一用户的身份执行代码。
- 密码用户向系统证明身份所提供的一串秘密字符,传统上是占主导地位的单因素认证方式。
- 密码策略一套规定用户密码如何创建、存储、轮换和验证的成文规则,用以在安全性与可用性之间取得平衡。
- 密码管理器用于生成、存储并自动填充强壮且唯一凭据的应用程序,通常以主口令短语保护,并越来越多地结合 passkey。
- 密码熵以比特为单位衡量密码不可预测性的指标,熵越高,攻击者破解所需的尝试次数就越多。
- 密码重复使用在多个账户或服务中使用相同密码的习惯,会让单次数据泄露牵连大量其他账户。
- 魔法链接登录一种无密码登录流程,用户通过邮件或短信收到一次性 URL,点击后即可完成身份验证。
- 内核态与用户态现代操作系统强制实施的两种 CPU 特权级别:内核态(管理员级、Ring 0)拥有完整硬件访问权限,用户态(Ring 3)被限制在自己的地址空间并只能执行有限指令。
- 凭据保险库集中化且可审计的服务,用于安全存储、轮换并代理对密码、API 密钥、证书和 SSH 密钥等机密的访问。
- 凭据收集大规模收集用户名、密码、令牌等身份验证机密的行为,通常用于后续账户接管或在黑市出售。
- 强制访问控制(MAC)由中心策略而非资源拥有者强制执行的访问控制模型,基于赋予主体与客体的密级和许可级别做出决策。
- 去中心化标识符 (DID)由 W3C 标准化的标识符,由主体直接控制,不依赖任何中心化注册机构,可解析为包含密码学密钥材料的文档。
- 社交登录一种允许用户使用 Google、Apple、Microsoft、Facebook、GitHub 等已有身份登录第三方网站的认证模式。
- 身份认证在授予访问权限前,验证某个实体(用户、设备或服务)确实是其所声称身份的过程。
- 身份与访问管理 (IAM)用于定义数字身份并控制每个身份在何种条件下可访问哪些资源的一套学科与技术体系。
- 审计记账 (AAA 中的 Accounting)AAA 框架的第三大支柱:记录已认证身份的行为、时间、来源以及所访问的资源,以便审计与计费。
- 生物特征认证根据指纹、人脸、虹膜或声纹等独特的生理特征来验证身份的认证方式。
- 时间因素 (身份认证)基于一天中的时间、星期或会话时长来限制或评估访问的上下文认证因素,通常与基于风险的策略结合使用。
- 授权在身份认证完成后,决定该身份对哪些资源、可以执行哪些操作以及在何种条件下被允许的过程。
- 数字身份在网络系统中代表个人、组织或设备的一组标识符、凭据与属性的集合。
- 刷新令牌(Refresh Token)用于在 OAuth 2.0 授权服务器上换取新短期访问令牌的长期凭据,无需用户再次登录。
- 双向认证通信的双方(客户端与服务器,或两个服务)在交换数据前互相以密码学方式证明身份的认证机制。
- 双因素认证 (2FA)多因素认证的具体形式之一,要求恰好两个因素(通常是密码加上第二因素)来验证身份。
- 特权访问管理(PAM)一套用于保护、控制、监控和审计具有管理员或更高权限账户与系统访问的实践与工具。
- 通行密钥 (Passkey)一种抗钓鱼的 FIDO2/WebAuthn 凭据,使用绑定设备或可同步的非对称密钥对,以加密挑战-响应取代密码。
- 推送式认证一种 MFA 方法,身份提供方向受信任的手机应用推送登录请求,用户点击即可批准或拒绝。
- 位置因素 (你所在的地方)基于用户地理或网络位置的上下文认证因素,例如 GPS 坐标、IP 地理位置或办公室 Wi-Fi,用于评估一次登录。
- 行为生物特征通过分析击键节奏、鼠标轨迹、步态或触屏手势等独特用户行为,持续验证身份并发现冒用的技术。
- 一次性密码 (OTP)只在一次登录尝试或短暂时间窗口内有效的短位数字码,通常用作第二认证因素。
- 已泄露密码已出现在已知数据泄露中的密码,因此绝不应再被允许作为用户口令,典型来源是 Troy Hunt 的 Have I Been Pwned 服务。
- 用户名枚举账户枚举的一种特定形式,通过应用响应确认某个用户名是否存在,从而帮助攻击者更有针对性地发起后续攻击。
- 用户账户控制(UAC)Windows Vista 引入的安全特性,以受限令牌运行交互会话,并在执行管理员操作进行提权时弹窗要求确认或输入凭据。
- 员工身份(Workforce Identity)组织内部员工、外包人员与内部服务的身份、凭据与访问权限,有别于面向客户的身份(CIAM)。
- 账户枚举利用应用响应差异来判断目标系统中存在哪些账户、邮箱或手机号的攻击。
- 账户锁定在连续失败次数达到设定阈值后,暂时或永久禁止登录的控制措施,用于减缓在线密码猜测攻击。
- 知识因素 (你所知道的)基于用户所知道的信息的认证因素,例如密码、PIN、口令短语或安全问题答案。
- 自适应认证一种根据设备、位置、行为等信号在实时变化的身份认证方式,会动态调整所需的认证因素强度和数量。
- 自我主权身份 (SSI)一种身份模型,使个人或组织直接持有并出示自己的凭证,而不必依赖中心化身份提供方。
- 自主访问控制(DAC)由资源拥有者自行决定谁可以访问以及执行何种操作的访问控制模型。
- 最小权限原则一种安全原则,要求向每个用户、进程或服务仅授予其完成职责所必需的最少权限,绝不多余。
- AAA 框架由认证 (Authentication)、授权 (Authorization)、记账 (Accounting) 三个串联功能构成的基础访问控制模型。
- Active Directory微软面向 Windows 网络的企业级目录服务,为用户、计算机和资源提供集中式身份验证、授权与策略管理。
- API 密钥(API Key)服务签发的静态密文字符串,用于识别和认证调用方,通常通过请求头或查询参数随每次 API 调用发送。
- Bearer 令牌(持有者令牌)RFC 6750 定义的不透明或结构化凭据,仅凭持有即可授予对资源的访问权限,不需证明持有者是合法所有者。
- BPF LSMLinux 安全模块,允许经过验证的 eBPF 程序挂载到 LSM 钩子,对系统调用、文件、套接字与 capability 实施自定义的强制访问控制。
- CSRF 令牌嵌入表单或请求头中、每个会话唯一且不可预测的值,使服务器能确认状态变更请求来自本站页面。
- FIDO2FIDO 联盟推出的开放认证标准,结合 WebAuthn(浏览器 API)和 CTAP(认证器协议),实现抗钓鱼的无密码登录。
- JWT(JSON Web Token)紧凑、URL 安全的令牌格式(RFC 7519),携带带签名的 JSON 声明,广泛用作访问令牌、ID 令牌和会话载体。
- Kerberos基于票据的网络认证协议,利用对称加密和受信的密钥分发中心实现跨服务的安全单点登录。
- LDAP轻量目录访问协议,IETF 制定的标准,用于通过 TCP/IP 查询和修改分层目录服务,通常使用 389 端口或 636 端口(配合 TLS)。
- Linux Capabilities由 POSIX.1e 草案定义的 Linux 内核机制,将无所不能的 root 权限拆分为 40 多种独立的能力,可分别授予进程和文件。
- MFA 疲劳攻击(Push Bombing)攻击者已获得有效密码后,不断向受害者发起 MFA 推送提示,直至对方因困惑或厌烦而误点同意的攻击。
- NTLM 认证一种基于挑战-响应的传统 Windows 认证协议,通过用户密码哈希证明身份,以现代标准衡量已被视为弱协议。
- OAuth 2.0开放的授权框架,允许资源所有者在不共享凭据的情况下,授予第三方应用对 API 的有限范围访问。
- OpenID Connect (OIDC)构建在 OAuth 2.0 之上的身份层,允许客户端通过签名的 ID 令牌验证用户身份并获取基本资料。
- SAML基于 XML 的开放标准,用于在身份提供方与服务提供方之间交换认证与授权断言。
- SeDebugPrivilegeWindows 中极为强大的特权,允许持有者打开、读取并修改任意进程(包括 LSASS)的内存,是攻击者窃取凭据时的首选目标。
- Signal 协议由 Open Whisper Systems 为 Signal 即时通讯开发的端到端加密协议,将 X3DH 密钥协商与 Double Ratchet 算法结合在一起。
- U2F (通用第二因素)FIDO 联盟提出的开放认证标准,通过 USB、NFC 或蓝牙安全密钥为密码增加硬件第二因素。
- WebAuthnW3C 标准 JavaScript API,允许 Web 应用使用存储在平台或外部认证器上的公钥凭据来注册和认证用户。