持有因素 (你所拥有的)
持有因素 (你所拥有的) 是什么?
持有因素 (你所拥有的)基于用户持有的物理或加密对象的认证因素,例如硬件令牌、智能卡、认证器应用或注册的手机。
持有因素通过 "你所拥有的" 来证明身份,包括硬件安全密钥 (FIDO2/WebAuthn)、智能卡 (PIV、CAC)、TOTP/HOTP 认证器应用、可接收短信或推送批准的手机、硬件 OTP 令牌,以及绑定到 TPM 或 Secure Enclave 的加密密钥。持有因素显著提高远程攻击者的门槛,因为仅窃取凭据并不足够。质量差异很大: SMS 与邮件 OTP 易受 SIM Swap 和钓鱼攻击,而抗钓鱼的 FIDO2 密钥则在加密层面将响应绑定到合法站点。NIST SP 800-63B 根据保证级别对持有因素认证器进行分类。
● 示例
- 01
在已注册的 iPhone 上通过 Microsoft Authenticator 的推送通知批准登录。
- 02
触摸 YubiKey 完成企业身份提供者发起的 FIDO2 挑战。
● 常见问题
持有因素 (你所拥有的) 是什么?
基于用户持有的物理或加密对象的认证因素,例如硬件令牌、智能卡、认证器应用或注册的手机。 它属于网络安全的 身份与访问 分类。
持有因素 (你所拥有的) 是什么意思?
基于用户持有的物理或加密对象的认证因素,例如硬件令牌、智能卡、认证器应用或注册的手机。
持有因素 (你所拥有的) 是如何工作的?
持有因素通过 "你所拥有的" 来证明身份,包括硬件安全密钥 (FIDO2/WebAuthn)、智能卡 (PIV、CAC)、TOTP/HOTP 认证器应用、可接收短信或推送批准的手机、硬件 OTP 令牌,以及绑定到 TPM 或 Secure Enclave 的加密密钥。持有因素显著提高远程攻击者的门槛,因为仅窃取凭据并不足够。质量差异很大: SMS 与邮件 OTP 易受 SIM Swap 和钓鱼攻击,而抗钓鱼的 FIDO2 密钥则在加密层面将响应绑定到合法站点。NIST SP 800-63B 根据保证级别对持有因素认证器进行分类。
如何防御 持有因素 (你所拥有的)?
针对 持有因素 (你所拥有的) 的防御通常结合技术控制与运营实践,详见上方完整定义。
持有因素 (你所拥有的) 还有哪些其他名称?
常见的别称包括: 你所拥有的, 所有权因素。
● 相关术语
- identity-access№ 592
知识因素 (你所知道的)
基于用户所知道的信息的认证因素,例如密码、PIN、口令短语或安全问题答案。
- identity-access№ 533
固有因素 (你本身)
基于用户生物特征的认证因素,例如指纹、人脸、虹膜、声音或键入节奏。
- identity-access№ 623
位置因素 (你所在的地方)
基于用户地理或网络位置的上下文认证因素,例如 GPS 坐标、IP 地理位置或办公室 Wi-Fi,用于评估一次登录。
- identity-access№ 1154
时间因素 (身份认证)
基于一天中的时间、星期或会话时长来限制或评估访问的上下文认证因素,通常与基于风险的策略结合使用。
- cryptography№ 413
FIDO 安全密钥
采用 FIDO U2F 或 FIDO2/WebAuthn 标准的硬件认证器,通过公钥认证实现抵抗钓鱼的登录,适用于 Web 与企业服务。
- identity-access№ 708
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。