Cookie

Web 服務(wù)器可以使用 HTTP cookie 將有狀態(tài)信息與特定客戶端相關(guān)聯(lián)[56]。Cookie 信息（例如，添加到在線商店購物車的商品的 ID）由客戶端存儲。Cookie 允許客戶端和服務(wù)器在每個 HTTP 請求-響應(yīng)中包含其唯一的會話標(biāo)識符，從而避免重復(fù)身份驗(yàn)證的需要。會話 Cookie 在會話關(guān)閉時(shí)過期（例如，客戶端關(guān)閉瀏覽器），但持久性 Cookie 僅在特定時(shí)間后過期。 

基于 Cookie 的身份驗(yàn)證允許客戶端在每次使用有效 Cookie 向服務(wù)器發(fā)送請求時(shí)重新建立會話?；?cookie 的會話管理容易受到會話標(biāo)識符劫持 [57]。發(fā)布有效會話 cookie 的劫機(jī)者可以使用經(jīng)過身份驗(yàn)證的受害者的權(quán)限連接到受攻擊的服務(wù)器。

Cookie 還可用于通過提供商跟蹤多個會話中的用戶。這種行為通常會危及用戶隱私（參見對抗行為CyBOK知識區(qū)[58]和隱私和在線權(quán)利CyBOK知識區(qū)[49]）。 

密碼和替代方案

密碼是部署最廣泛的機(jī)制，可讓用戶對網(wǎng)站和移動應(yīng)用程序進(jìn)行身份驗(yàn)證，并保護(hù)其敏感信息免受在線非法訪問。它們因其低成本、可部署性、便利性和良好的可用性而成為用戶身份驗(yàn)證的主要方法。但是，大多數(shù)在線帳戶使用密碼會損害帳戶安全性[18]。由于人類往往難以記住許多不同的復(fù)雜密碼，因此他們經(jīng)常選擇弱密碼并為 多個帳戶重復(fù)使用相同的密碼。攻擊者很容易在離線或在線上猜到弱密碼。重復(fù)使用的密碼會放大所有密碼攻擊的嚴(yán)重性。一個被盜用的在線帳戶會導(dǎo)致所有其他帳戶受到與易受攻擊相同的密碼保護(hù)。雖然密碼指南過去經(jīng)常建議使用復(fù)雜密碼，但目前的指南指出，要求復(fù)雜密碼實(shí)際上削弱了密碼安全性，并建議不要使用包含密碼復(fù)雜性的策略[59，60]。這些方面在人為因素CyBOK知識領(lǐng)域[20]中進(jìn)一步討論。

在線服務(wù)提供商部署了各種對策來解決弱密碼和密碼重用的安全問題： 

密碼策略

密碼策略是鼓勵用戶選擇更強(qiáng)密碼的規(guī)則集。一些密碼策略還解決了記憶問題。為了支持更強(qiáng)的密碼，大多數(shù)規(guī)則都解決了密碼長度和組成，黑名單和密碼有效期[61，62]。

密碼強(qiáng)度計(jì)

密碼強(qiáng)度計(jì) （PSM） 追求與密碼策略相同的目標(biāo)，旨在鼓勵選擇更強(qiáng)的密碼。PSM通常提供視覺反饋或分配密碼分?jǐn)?shù)以表示密碼強(qiáng)度（見圖7）[63]。

然而，通過部署限制性策略或PSM來解決弱密碼和密碼重用問題對整體密碼安全性的影響有限[64]。因此，服務(wù)提供商可以使用簡單密碼的擴(kuò)展來提高身份驗(yàn)證安全性。

密碼管理器

密碼管理器可以幫助用戶生成、存儲和檢索強(qiáng)密碼。使用安全隨機(jī)數(shù)生成器和安全加密生成和存儲強(qiáng)密碼。它們作為本地可安裝的應(yīng)用程序、在線服務(wù)或本地硬件設(shè)備提供。雖然它們可以幫助用戶使用更多樣化和更強(qiáng)大的密碼，但由于可用性問題，它們對整體密碼安全性的影響有限[65]。有關(guān)更詳細(xì)的討論，請參閱人為因素CyBOK知識領(lǐng)域[20]。

多重身份驗(yàn)證

多因素認(rèn)證系統(tǒng)不僅需要一個因素（例如密碼），還要求用戶在認(rèn)證過程中提供多個因素[66]。網(wǎng)站密碼通常輔以雙因素身份驗(yàn)證 （2FA） 的第二個因素。最常見的是，第二個因素通常使用移動設(shè)備。因此，除了密碼之外，用戶還需要手頭有他們的設(shè)備才能接收一次性令牌才能成功進(jìn)行身份驗(yàn)證。歐洲支付服務(wù)指令2（PSD2）要求網(wǎng)絡(luò)和移動環(huán)境中的所有在線支付服務(wù)都采用2FA（參見身份驗(yàn)證，授權(quán)和問責(zé)制）CyBOK知識領(lǐng)域[4]）。

網(wǎng)絡(luò)身份驗(yàn)證

WebAuthn（Web Authentication） [67] Web標(biāo)準(zhǔn)是FIDO2項(xiàng)目的核心組件（參見身份驗(yàn)證，授權(quán)和責(zé)任CyBOK知識領(lǐng)域[4]），旨在為基于Web的應(yīng)用程序的用戶身份驗(yàn)證提供標(biāo)準(zhǔn)化的界面使用公鑰加密。大多數(shù)現(xiàn)代 Web 瀏覽器和移動操作系統(tǒng)都支持 WebAuthn。它可以在單因素或多因素身份驗(yàn)證模式下使用。在多重身份驗(yàn)證模式下，支持 PIN、密碼、滑動模式或生物識別。