分级提升认证 (Step-Up)
分级提升认证 (Step-Up) 是什么?
分级提升认证 (Step-Up)一种在用户执行比当前会话原本被授权的更高风险操作时,要求附加或更强认证因素的模式。
Step-Up 认证只在必要时增加摩擦。用户先以普通凭据登录,随后请求敏感操作(如汇款、修改恢复邮箱、查看 PII 或进入特权管理界面)时,依赖方会要求新的、更强的身份证明。NIST SP 800-63B 以及 OpenID Connect 的 acr_values / max_age 参数对该概念进行了形式化:应用可以请求特定的 Authentication Context Class Reference,或要求在 N 秒内重新认证。常见实现是在执行特权操作前再次校验 passkey、TOTP、硬件密钥或生物特征。这种模式在保护高价值交易的同时不影响日常浏览体验。
● 示例
- 01
银行 App 在批准超过 5000 欧元的转账前要求轻触硬件密钥。
- 02
GitHub 的 sudo 模式在删除仓库等危险操作前再次要求 passkey。
● 常见问题
分级提升认证 (Step-Up) 是什么?
一种在用户执行比当前会话原本被授权的更高风险操作时,要求附加或更强认证因素的模式。 它属于网络安全的 身份与访问 分类。
分级提升认证 (Step-Up) 是什么意思?
一种在用户执行比当前会话原本被授权的更高风险操作时,要求附加或更强认证因素的模式。
分级提升认证 (Step-Up) 是如何工作的?
Step-Up 认证只在必要时增加摩擦。用户先以普通凭据登录,随后请求敏感操作(如汇款、修改恢复邮箱、查看 PII 或进入特权管理界面)时,依赖方会要求新的、更强的身份证明。NIST SP 800-63B 以及 OpenID Connect 的 acr_values / max_age 参数对该概念进行了形式化:应用可以请求特定的 Authentication Context Class Reference,或要求在 N 秒内重新认证。常见实现是在执行特权操作前再次校验 passkey、TOTP、硬件密钥或生物特征。这种模式在保护高价值交易的同时不影响日常浏览体验。
如何防御 分级提升认证 (Step-Up)?
针对 分级提升认证 (Step-Up) 的防御通常结合技术控制与运营实践,详见上方完整定义。
分级提升认证 (Step-Up) 还有哪些其他名称?
常见的别称包括: 重新认证, 交易认证, 分级提升 MFA。
● 相关术语
- identity-access№ 708
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
- identity-access№ 015
自适应认证
一种根据设备、位置、行为等信号在实时变化的身份认证方式,会动态调整所需的认证因素强度和数量。
- identity-access№ 940
基于风险的认证 (RBA)
一种为每次登录实时计算风险分数,并据此决定放行、挑战或拒绝的认证策略。
- identity-access№ 216
持续认证
一种在整个会话期间持续利用行为与设备信号验证用户身份的认证方式,而非仅在登录时进行一次性认证。
- identity-access№ 793
通行密钥 (Passkey)
一种抗钓鱼的 FIDO2/WebAuthn 凭据,使用绑定设备或可同步的非对称密钥对,以加密挑战-响应取代密码。
- identity-access№ 760
OpenID Connect (OIDC)
构建在 OAuth 2.0 之上的身份层,允许客户端通过签名的 ID 令牌验证用户身份并获取基本资料。
● 参见
- № 519不可能旅行检测