A07:2025 - 认证失效

💡 学习提示: 本文档介绍 OWASP Top 10 A07 - 认证失效，涉及身份验证机制的安全问题。

📋 风险概述

认证失效 (Authentication Failures) 是指身份验证机制存在缺陷，使攻击者能够冒充合法用户。

🟠 危害等级：高危

🎯 常见场景

1. 弱密码策略

# ❌ 允许弱密码
Password: 123456
Password: admin

2. 会话管理不当

# ❌ 会话固定攻击
# 未在新登录时生成新会话 ID

3. 凭证填充

# 攻击者使用泄露的密码尝试登录
# 缺少速率限制和验证码

🛡️ 防御方法

✅ 1. 强密码策略

# 要求密码复杂度
- 最少 12 个字符
- 包含大小写字母、数字、符号

✅ 2. 多因素认证 (MFA)

密码 + 短信验证码
密码 + TOTP (Google Authenticator)

✅ 3. 安全会话管理

# 登录后生成新会话 ID
session.regenerate()

🔗 参考资料

• OWASP Top 10:2025 A07: https://owasp.org/Top10/A07_2025-Authentication_Failures/

最后更新：2026-03-10