Cookie

Web 服務(wù)器可以使用 HTTP cookie 將有狀態(tài)信息與特定客戶端相關(guān)聯(lián)[56]。Cookie 信息（例如，添加到在線商店購(gòu)物車的商品的 ID）由客戶端存儲(chǔ)。Cookie 允許客戶端和服務(wù)器在每個(gè) HTTP 請(qǐng)求-響應(yīng)中包含其唯一的會(huì)話標(biāo)識(shí)符，從而避免重復(fù)身份驗(yàn)證的需要。會(huì)話 Cookie 在會(huì)話關(guān)閉時(shí)過(guò)期（例如，客戶端關(guān)閉瀏覽器），但持久性 Cookie 僅在特定時(shí)間后過(guò)期。

基于 Cookie 的身份驗(yàn)證允許客戶端在每次使用有效 Cookie 向服務(wù)器發(fā)送請(qǐng)求時(shí)重新建立會(huì)話。基于 cookie 的會(huì)話管理容易受到會(huì)話標(biāo)識(shí)符劫持 [57]。發(fā)布有效會(huì)話 cookie 的劫機(jī)者可以使用經(jīng)過(guò)身份驗(yàn)證的受害者的權(quán)限連接到受攻擊的服務(wù)器。

Cookie 還可用于通過(guò)提供商跟蹤多個(gè)會(huì)話中的用戶。這種行為通常會(huì)危及用戶隱私（參見(jiàn)對(duì)抗行為CyBOK知識(shí)區(qū)[58]和隱私和在線權(quán)利CyBOK知識(shí)區(qū)[49]）。

密碼和替代方案

密碼是部署最廣泛的機(jī)制，可讓用戶對(duì)網(wǎng)站和移動(dòng)應(yīng)用程序進(jìn)行身份驗(yàn)證，并保護(hù)其敏感信息免受在線非法訪問(wèn)。它們因其低成本、可部署性、便利性和良好的可用性而成為用戶身份驗(yàn)證的主要方法。但是，大多數(shù)在線帳戶使用密碼會(huì)損害帳戶安全性[18]。由于人類往往難以記住許多不同的復(fù)雜密碼，因此他們經(jīng)常選擇弱密碼并為 多個(gè)帳戶重復(fù)使用相同的密碼。攻擊者很容易在離線或在線上猜到弱密碼。重復(fù)使用的密碼會(huì)放大所有密碼攻擊的嚴(yán)重性。一個(gè)被盜用的在線帳戶會(huì)導(dǎo)致所有其他帳戶受到與易受攻擊相同的密碼保護(hù)。雖然密碼指南過(guò)去經(jīng)常建議使用復(fù)雜密碼，但目前的指南指出，要求復(fù)雜密碼實(shí)際上削弱了密碼安全性，并建議不要使用包含密碼復(fù)雜性的策略[59，60]。這些方面在人為因素CyBOK知識(shí)領(lǐng)域[20]中進(jìn)一步討論。

在線服務(wù)提供商部署了各種對(duì)策來(lái)解決弱密碼和密碼重用的安全問(wèn)題：

密碼策略

密碼策略是鼓勵(lì)用戶選擇更強(qiáng)密碼的規(guī)則集。一些密碼策略還解決了記憶問(wèn)題。為了支持更強(qiáng)的密碼，大多數(shù)規(guī)則都解決了密碼長(zhǎng)度和組成，黑名單和密碼有效期[61，62]。

密碼強(qiáng)度計(jì)

密碼強(qiáng)度計(jì) （PSM） 追求與密碼策略相同的目標(biāo)，旨在鼓勵(lì)選擇更強(qiáng)的密碼。PSM通常提供視覺(jué)反饋或分配密碼分?jǐn)?shù)以表示密碼強(qiáng)度（見(jiàn)圖7）[63]。

然而，通過(guò)部署限制性策略或PSM來(lái)解決弱密碼和密碼重用問(wèn)題對(duì)整體密碼安全性的影響有限[64]。因此，服務(wù)提供商可以使用簡(jiǎn)單密碼的擴(kuò)展來(lái)提高身份驗(yàn)證安全性。

密碼管理器

密碼管理器可以幫助用戶生成、存儲(chǔ)和檢索強(qiáng)密碼。使用安全隨機(jī)數(shù)生成器和安全加密生成和存儲(chǔ)強(qiáng)密碼。它們作為本地可安裝的應(yīng)用程序、在線服務(wù)或本地硬件設(shè)備提供。雖然它們可以幫助用戶使用更多樣化和更強(qiáng)大的密碼，但由于可用性問(wèn)題，它們對(duì)整體密碼安全性的影響有限[65]。有關(guān)更詳細(xì)的討論，請(qǐng)參閱人為因素CyBOK知識(shí)領(lǐng)域[20]。

多重身份驗(yàn)證

多因素認(rèn)證系統(tǒng)不僅需要一個(gè)因素（例如密碼），還要求用戶在認(rèn)證過(guò)程中提供多個(gè)因素[66]。網(wǎng)站密碼通常輔以雙因素身份驗(yàn)證 （2FA） 的第二個(gè)因素。最常見(jiàn)的是，第二個(gè)因素通常使用移動(dòng)設(shè)備。因此，除了密碼之外，用戶還需要手頭有他們的設(shè)備才能接收一次性令牌才能成功進(jìn)行身份驗(yàn)證。歐洲支付服務(wù)指令2（PSD2）要求網(wǎng)絡(luò)和移動(dòng)環(huán)境中的所有在線支付服務(wù)都采用2FA（參見(jiàn)身份驗(yàn)證，授權(quán)和問(wèn)責(zé)制）CyBOK知識(shí)領(lǐng)域[4]）。

網(wǎng)絡(luò)身份驗(yàn)證

WebAuthn（Web Authentication） [67] Web標(biāo)準(zhǔn)是FIDO2項(xiàng)目的核心組件（參見(jiàn)身份驗(yàn)證，授權(quán)和責(zé)任CyBOK知識(shí)領(lǐng)域[4]），旨在為基于Web的應(yīng)用程序的用戶身份驗(yàn)證提供標(biāo)準(zhǔn)化的界面使用公鑰加密。大多數(shù)現(xiàn)代 Web 瀏覽器和移動(dòng)操作系統(tǒng)都支持 WebAuthn。它可以在單因素或多因素身份驗(yàn)證模式下使用。在多重身份驗(yàn)證模式下，支持 PIN、密碼、滑動(dòng)模式或生物識(shí)別。