2025年信息系统安全专家多因素认证标准与协议概述专题试卷及解析.pdfVIP

2025年信息系统安全专家多因素认证标准与协议概述专题试卷及解析1

2025年信息系统安全专家多因素认证标准与协议概述专题

试卷及解析

2025年信息系统安全专家多因素认证标准与协议概述专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在多因素认证（MFA）的三个主要认证因素中，使用指纹或面部识别进行验证

属于哪一类？

A、知识因素

B、拥有因素

C、生物特征因素

D、位置因素

【答案】C

【解析】正确答案是C。生物特征因素（InherenceFactor）是指基于用户独一无二

的生物特征进行验证，如指纹、面部识别、虹膜扫描等。A选项知识因素（Knowledge

Factor）指的是用户知道的信息，如密码、PIN码。B选项拥有因素（PossessionFactor）

指的是用户拥有的物品，如手机、硬件令牌。D选项位置因素通常不被列为MFA的三

大核心因素之一，尽管它可以作为一种增强安全性的上下文信息。知识点：多因素认证

的分类。易错点：容易将生物特征因素与拥有因素混淆，误认为手机上的指纹识别是“拥

有手机”的体现，但其认证核心是生物特征本身，而非手机这个设备。

2、以下哪项协议是专门为基于推送通知的MFA而设计的，旨在提供更安全、更

便捷的用户体验？

A、PAP(PasswordAuthenticationProtocol)

B、OAuth2.0

C、FIDO2/WebAuthn

D、RADIUS

【答案】C

【解析】正确答案是C。FIDO2（FastIdentityOnline2）及其核心组件WebAuthn

（WebAuthentication）是一套开放标准，旨在通过公钥密码学实现无密码或强身份验

证，它支持生物识别、硬件安全密钥等多种方式，并能与浏览器和原生应用无缝集成，

常用于实现基于推送或本地设备解锁的MFA体验。A选项PAP是一种非常古老且不

安全的明文密码传输协议。B选项OAuth2.0是一个授权框架，主要用于授权第三方应

用访问用户资源，而非身份认证本身。D选项RADIUS是一个网络认证、授权和计费

（AAA）协议，虽然支持多种认证方式，但并非专门为现代推送式MFA设计。知识点：

现代MFA协议。易错点：容易将OAuth2.0与认证协议混淆，OAuth2.0的核心是“授

权”，而OpenIDConnect（基于OAuth2.0）才是“认证”协议，但FIDO2更直接地解决

2025年信息系统安全专家多因素认证标准与协议概述专题试卷及解析2

了MFA的用户体验和安全问题。

3、在实施MFA时，如果攻击者通过社会工程学手段诱骗用户泄露了短信验证码，

并利用该代码登录了系统，这种攻击主要绕过了MFA的哪个因素？

A、知识因素

B、拥有因素

C、生物特征因素

D、所有因素

【答案】B

【解析】正确答案是B。短信验证码是一种典型的拥有因素（PossessionFactor），

因为它验证的是用户“拥有”该手机号码并能接收信息。攻击者通过社会工程学获取验证

码，相当于窃取了“拥有”的证明，从而绕过了该因素。A选项知识因素（如密码）在此

场景中并未被绕过，攻击者仍需知道用户的密码。C选项生物特征因素未被涉及。D选

项所有因素的说法不准确，因为攻击并未绕过知识因素。知识点：MFA各环节的脆弱

性。易错点：可能会误认为只要MFA被攻破就是所有因素都失效了，实际上攻击往往

是针对其中最薄弱的一环，此处是拥有因素中的短信验证码。

4、NISTSP80063B是数字身份指南的重要文档，它对MFA的使用提出了具体建

议。根据该指南，以下哪种验证方式被认为的安全性较低，不再被推荐作为唯一的MFA

因素？

A、基于推送通知的认证

B、硬件OTP令牌

C、通过短信发送的一次性密码

D、基于公钥的认证器

【答案】C

【解析】正确答案是C。NISTSP80063B明确指出，通过短信（SMS）和语