我读到过,使用客户端证书保护服务比使用 TLS 与基本身份验证的组合更安全。
客户端证书在设置复杂性和性能方面存在重大缺陷,因此我正在寻找有关客户端证书如何更安全的具体原因,以及一些合理情况的示例。谢谢!
答案1
客户端证书并不比(良好、受保护的)密码更安全。一般来说,它比密码更好,因为它不太可能(不可能)与另一个证书相同(与http://xkcd.com/792/),并且不太可能(不可能)被猜到(即,它可以抵抗字典攻击)。与密码相比,它被最终用户泄露的可能性更小。
客户端证书被视为“您拥有的东西”,因此客户端证书和密码(“您知道的东西”)可以满足各种法规中的任何 TFA(双因素身份验证)要求。