---
title: "A07:2025 - 认证失效"
weight: 7
date: "2026-03-10T11:26:47+08:00"
lastmod: "2026-03-10T11:26:47+08:00"
---

💡 **学习提示**: 本文档介绍 OWASP Top 10 A07 - 认证失效，涉及身份验证机制的安全问题。

---

## 📋 风险概述

**认证失效 (Authentication Failures)** 是指身份验证机制存在缺陷，使攻击者能够冒充合法用户。

### 🟠 危害等级：高危

| 项目 | 说明 |
|------|------|
| **发生率** | 1.95% |
| **平均影响** | 7.12/10 |

---

## 🎯 常见场景

### 1. 弱密码策略

```
# ❌ 允许弱密码
Password: 123456
Password: admin
```

### 2. 会话管理不当

```python
# ❌ 会话固定攻击
# 未在新登录时生成新会话 ID
```

### 3. 凭证填充

```
# 攻击者使用泄露的密码尝试登录
# 缺少速率限制和验证码
```

---

## 🛡️ 防御方法

### ✅ 1. 强密码策略

```python
# 要求密码复杂度
- 最少 12 个字符
- 包含大小写字母、数字、符号
```

### ✅ 2. 多因素认证 (MFA)

```
密码 + 短信验证码
密码 + TOTP (Google Authenticator)
```

### ✅ 3. 安全会话管理

```python
# 登录后生成新会话 ID
session.regenerate()
```

---

## 🔗 参考资料

- **OWASP Top 10:2025 A07**: https://owasp.org/Top10/A07_2025-Authentication_Failures/

---

*最后更新：2026-03-10*