我读过使用客户端证书保护服务比使用TLS和基本身份validation的组合更安全。
客户端证书在安装复杂性和性能方面有很大的缺陷,所以我正在寻找客户端证书更安全的更具体的原因,以及他们certificate合理的情况的一些例子。 谢谢!
客户端证书不是比(好的,受保护的)密码更安全。 一般来说,它比密码好,因为它不太可能(不可能)与另一个证书相同(与http://xkcd.com/792/对比),并且不太可能(不可能)被猜到(即它抵制字典攻击)。 最终用户泄露密码的可能性不大。
客户端证书被认为是“你有的东西”,以便客户证书和密码(“你知道的东西”)可以满足各种法规中的任何TFA(双因素authentication)要求。