Cookie

Web 服務器可以使用 HTTP cookie 將有狀態信息與特定客戶端相關聯[56]。Cookie 信息（例如，添加到在線商店購物車的商品的 ID）由客戶端存儲。Cookie 允許客戶端和服務器在每個 HTTP 請求-響應中包含其唯一的會話標識符，從而避免重復身份驗證的需要。會話 Cookie 在會話關閉時過期（例如，客戶端關閉瀏覽器），但持久性 Cookie 僅在特定時間后過期。

基于 Cookie 的身份驗證允許客戶端在每次使用有效 Cookie 向服務器發送請求時重新建立會話。基于 cookie 的會話管理容易受到會話標識符劫持 [57]。發布有效會話 cookie 的劫機者可以使用經過身份驗證的受害者的權限連接到受攻擊的服務器。

Cookie 還可用于通過提供商跟蹤多個會話中的用戶。這種行為通常會危及用戶隱私（參見對抗行為CyBOK知識區[58]和隱私和在線權利CyBOK知識區[49]）。

密碼和替代方案

密碼是部署最廣泛的機制，可讓用戶對網站和移動應用程序進行身份驗證，并保護其敏感信息免受在線非法訪問。它們因其低成本、可部署性、便利性和良好的可用性而成為用戶身份驗證的主要方法。但是，大多數在線帳戶使用密碼會損害帳戶安全性[18]。由于人類往往難以記住許多不同的復雜密碼，因此他們經常選擇弱密碼并為 多個帳戶重復使用相同的密碼。攻擊者很容易在離線或在線上猜到弱密碼。重復使用的密碼會放大所有密碼攻擊的嚴重性。一個被盜用的在線帳戶會導致所有其他帳戶受到與易受攻擊相同的密碼保護。雖然密碼指南過去經常建議使用復雜密碼，但目前的指南指出，要求復雜密碼實際上削弱了密碼安全性，并建議不要使用包含密碼復雜性的策略[59，60]。這些方面在人為因素CyBOK知識領域[20]中進一步討論。

在線服務提供商部署了各種對策來解決弱密碼和密碼重用的安全問題：

密碼策略

密碼策略是鼓勵用戶選擇更強密碼的規則集。一些密碼策略還解決了記憶問題。為了支持更強的密碼，大多數規則都解決了密碼長度和組成，黑名單和密碼有效期[61，62]。

密碼強度計

密碼強度計 （PSM） 追求與密碼策略相同的目標，旨在鼓勵選擇更強的密碼。PSM通常提供視覺反饋或分配密碼分數以表示密碼強度（見圖7）[63]。

然而，通過部署限制性策略或PSM來解決弱密碼和密碼重用問題對整體密碼安全性的影響有限[64]。因此，服務提供商可以使用簡單密碼的擴展來提高身份驗證安全性。

密碼管理器

密碼管理器可以幫助用戶生成、存儲和檢索強密碼。使用安全隨機數生成器和安全加密生成和存儲強密碼。它們作為本地可安裝的應用程序、在線服務或本地硬件設備提供。雖然它們可以幫助用戶使用更多樣化和更強大的密碼，但由于可用性問題，它們對整體密碼安全性的影響有限[65]。有關更詳細的討論，請參閱人為因素CyBOK知識領域[20]。

多重身份驗證

多因素認證系統不僅需要一個因素（例如密碼），還要求用戶在認證過程中提供多個因素[66]。網站密碼通常輔以雙因素身份驗證 （2FA） 的第二個因素。最常見的是，第二個因素通常使用移動設備。因此，除了密碼之外，用戶還需要手頭有他們的設備才能接收一次性令牌才能成功進行身份驗證。歐洲支付服務指令2（PSD2）要求網絡和移動環境中的所有在線支付服務都采用2FA（參見身份驗證，授權和問責制）CyBOK知識領域[4]）。

網絡身份驗證

WebAuthn（Web Authentication） [67] Web標準是FIDO2項目的核心組件（參見身份驗證，授權和責任CyBOK知識領域[4]），旨在為基于Web的應用程序的用戶身份驗證提供標準化的界面使用公鑰加密。大多數現代 Web 瀏覽器和移動操作系統都支持 WebAuthn。它可以在單因素或多因素身份驗證模式下使用。在多重身份驗證模式下，支持 PIN、密碼、滑動模式或生物識別。