2025年信息系统安全专家多因素认证中的社会工程学防范专题试卷及解析.pdfVIP

2025年信息系统安全专家多因素认证中的社会工程学防范专题试卷及解析1

2025年信息系统安全专家多因素认证中的社会工程学防范

专题试卷及解析

2025年信息系统安全专家多因素认证中的社会工程学防范专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在多因素认证（MFA）系统中，以下哪种因素最容易被社会工程学攻击者利用？

A、你知道的（密码）

B、你拥有的（手机）

C、你拥有的（硬件令牌）

D、你是的（生物特征）

【答案】A

【解析】正确答案是A。密码是最容易被社会工程学攻击的因素，因为攻击者可以

通过钓鱼、伪装等手段骗取用户密码。B和C选项虽然也可能被攻击，但需要物理接

触或技术手段，难度较大。D选项生物特征相对最安全，但也不是绝对免疫。知识点：

社会工程学攻击主要针对人的心理弱点，密码是最常见的攻击目标。易错点：很多人认

为硬件令牌绝对安全，但实际存在SIM卡交换等攻击方式。

2、以下哪种MFA实施方式最能有效防范钓鱼攻击？

A、短信验证码

B、基于时间的一次性密码（TOTP）

C、推送通知

D、硬件安全密钥

【答案】D

【解析】正确答案是D。硬件安全密钥采用公钥加密技术，即使攻击者获取了用户

密码，也无法完成认证，因为密钥不会泄露任何秘密。A、B、C方式都可能被中间人

攻击或钓鱼攻击绕过。知识点：钓鱼攻击是常见的社会工程学手段，需要选择抗钓鱼能

力强的MFA方式。易错点：推送通知看似安全，但用户可能被诱导点击恶意通知。

3、在防范社会工程学攻击时，以下哪种用户教育措施最有效？

A、定期更换密码

B、使用复杂密码

C、模拟钓鱼测试

D、安装杀毒软件

【答案】C

【解析】正确答案是C。模拟钓鱼测试能让用户亲身体验攻击手法，提高警惕性，是

最有效的教育方式。A和B是基础措施，但无法防范社会工程学。D是技术手段，与

2025年信息系统安全专家多因素认证中的社会工程学防范专题试卷及解析2

用户教育无关。知识点：社会工程学防范需要结合技术手段和用户教育。易错点：很多

人认为技术手段可以完全替代用户教育。

4、以下哪种社会工程学攻击方式最难以通过MFA防范？

A、钓鱼邮件

B、电话诈骗

C、中间人攻击

D、SIM卡交换

【答案】D

【解析】正确答案是D。SIM卡交换攻击直接绕过MFA，因为攻击者可以接收短信

验证码。A、B、C都可以通过适当的MFA配置防范。知识点：SIM卡交换是针对短信

MFA的特定攻击方式。易错点：很多人认为所有MFA方式都同样安全。

5、在实施MFA时，以下哪种做法最可能增加社会工程学攻击风险？

A、强制所有用户使用MFA

B、允许用户记住设备

C、使用多种认证因素

D、定期审计MFA日志

【答案】B

【解析】正确答案是B。允许记住设备会降低安全性，攻击者可能利用被记住的设

备进行攻击。A、C、D都是安全最佳实践。知识点：便利性与安全性需要平衡。易错

点：用户可能过度追求便利性而忽视安全。

6、以下哪种生物特征MFA方式最容易被社会工程学攻击者欺骗？

A、指纹识别

B、面部识别

C、虹膜扫描

D、语音识别

【答案】D

【解析】正确答案是D。语音识别最容易通过录音等方式欺骗，其他生物特征更难

伪造。知识点：不同生物特征的安全性差异很大。易错点：很多人认为所有生物特征都

同样安全。

7、在防范社会工程学攻击时，以下哪种MFA策略最有效？

A、使用单一强认证因素

B、基于风险的动态认证

C、固定认证因素组合

D、仅使用硬件令牌

【答案】B

2025年信息系统安全专家多因素认证中的社会工程学防范专题试卷及解析3

【解析】正确答案是B。基于风险的动态认证可以根据行为特征调整认证要求，最

有效。A