哪种身份验证不容易受到中间人的攻击？

Question

我正在为CISA考试做准备，遇到一些材料说：“基于挑战响应的认证很容易发生会话劫持或中间人攻击”。但是该材料没有提到哪种身份验证对MiTM攻击有很强的抵抗力。

根据我的理解，上述声明并不是很有意义，因为所有类型的身份验证都容易使用MiTM。

为了防止MiTM，我们可以应用多个因素进行身份验证。例如，除了浏览器的登录之外，用户还可能需要在一分钟内按下移动应用程序上的确认按钮，才能完成身份验证。但是，有一种不容易使用MiTM的身份验证方法。我说的对吗？

Answer 1

基于密钥交换方法的身份验证在设计上是对MitM攻击免疫的。但是，它们确实需要某种证书基础结构。(请注意，密钥交换本身不提供身份验证)

基于共享机密、公钥加密或证书的身份验证也可以设计为免受MitM攻击。这样的认证可以包括质询响应机制。

双(或多)因素身份验证不能对MitM攻击免疫，但是Eve需要能够同时拦截所有使用的信道，这大大增加了她的难度。

执行不受MitM影响的身份验证的基本思想是按顺序执行：

1. 建立一个安全(即MitM保护的)信道
2. 确定另一方的身份
3. 交换认证信息

这就是你的网上银行的设置方式。DH密钥交换+适用于步骤1的加密。步骤2基于可信根CA的证书，步骤3的标准web表单身份验证。

请注意，TAN列表(共享机密)、伪随机TAN生成器(共享机密)或SMS TAN (2FA)通常是额外使用的，但通常是在实际身份验证之后。