知识因素 (你所知道的)
知识因素 (你所知道的) 是什么?
知识因素 (你所知道的)基于用户所知道的信息的认证因素,例如密码、PIN、口令短语或安全问题答案。
知识因素是经典三大认证因素之一,代表 "你所知道的"。典型例子包括密码、PIN、口令短语、恢复码,以及基于知识的认证 (KBA) 问题的答案。知识因素易于部署,无需额外硬件,但也是最薄弱的因素: 容易遭到钓鱼、被猜测、被跨站重用、在数据库泄露中被窃取,或通过恶意软件被抽取。NIST SP 800-63B 等标准认为仅依靠密码不足以达到高保证级别,建议将其与持有因素或固有因素结合,形成多因素认证方案。
● 示例
- 01
用户输入账户密码以登录 SaaS 应用。
- 02
输入 6 位 PIN 解锁智能手机屏幕。
● 常见问题
知识因素 (你所知道的) 是什么?
基于用户所知道的信息的认证因素,例如密码、PIN、口令短语或安全问题答案。 它属于网络安全的 身份与访问 分类。
知识因素 (你所知道的) 是什么意思?
基于用户所知道的信息的认证因素,例如密码、PIN、口令短语或安全问题答案。
知识因素 (你所知道的) 是如何工作的?
知识因素是经典三大认证因素之一,代表 "你所知道的"。典型例子包括密码、PIN、口令短语、恢复码,以及基于知识的认证 (KBA) 问题的答案。知识因素易于部署,无需额外硬件,但也是最薄弱的因素: 容易遭到钓鱼、被猜测、被跨站重用、在数据库泄露中被窃取,或通过恶意软件被抽取。NIST SP 800-63B 等标准认为仅依靠密码不足以达到高保证级别,建议将其与持有因素或固有因素结合,形成多因素认证方案。
如何防御 知识因素 (你所知道的)?
针对 知识因素 (你所知道的) 的防御通常结合技术控制与运营实践,详见上方完整定义。
知识因素 (你所知道的) 还有哪些其他名称?
常见的别称包括: 你所知道的, 基于知识的因素。
● 相关术语
- identity-access№ 844
持有因素 (你所拥有的)
基于用户持有的物理或加密对象的认证因素,例如硬件令牌、智能卡、认证器应用或注册的手机。
- identity-access№ 533
固有因素 (你本身)
基于用户生物特征的认证因素,例如指纹、人脸、虹膜、声音或键入节奏。
- identity-access№ 623
位置因素 (你所在的地方)
基于用户地理或网络位置的上下文认证因素,例如 GPS 坐标、IP 地理位置或办公室 Wi-Fi,用于评估一次登录。
- identity-access№ 1154
时间因素 (身份认证)
基于一天中的时间、星期或会话时长来限制或评估访问的上下文认证因素,通常与基于风险的策略结合使用。
- identity-access№ 708
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
- identity-access№ 798
密码策略
一套规定用户密码如何创建、存储、轮换和验证的成文规则,用以在安全性与可用性之间取得平衡。