Frequent reauth doesn't make you more secure
a year ago
- #security
- #authentication
- #MFA
- 频繁的重复认证会打断工作流程并加剧多因素认证疲劳,反而降低安全性
- 安全重点应放在访问管理和实时策略更新上,而非频繁登录
- 认证检查应根据场景验证设备持有或身份真实性
- 频繁登录为攻击者窃取凭证创造了更多可乘之机
- 现代操作系统锁屏功能已能有效保护会话安全,无需频繁登录
- 网站会话过期时间设置往往过短无法防劫持,却又长得足以惹恼用户
- 持续验证和设备状态检查比频繁登录提供更优的安全防护
- 安全措施应具备适应性、智能化特性,并将对用户的干扰降至最低