我们正在更改我工作场所的远程登录安全流程,我们担心新系统不会像旧系统那样使用多因素身份验证。(我们一直在使用 RSA 密钥卡,但由于成本原因正在更换它们。)新系统是一种反网络钓鱼图像系统,被误解为双因素身份验证系统。我们现在正在探索在不向用户发布硬件设备的情况下继续提供多因素安全性的方法。
是否可以编写一个基于软件的令牌系统以安装在用户的 PC 上,这将构成多因素身份验证系统中真正的第二因素?这会被认为是“用户拥有的东西”,还是仅仅是“用户知道的东西”的另一种形式?
编辑:phreakre对 cookie 提出了一个很好的观点。为了这个问题,假设 cookie 已被排除,因为它们不够安全。