密码是支持单因素身份验证的最佳机制

-数字身份模型（来源：NIST SP 800 63-3）
“秘密”是用於验证主体身份的最关键元素。一个认证是秘密的载体，例如，密码，在你的大脑记忆（你知道的），私有密钥储存在令牌设备（你有什麽），或生物识别嵌入在你的身体（你是）。
 生物识别（您的身份）不足以构成秘密，因为它可能会暴露给公众。例如，您的自拍可能会让您容易受到黑客的攻击。NIST SP 800-63 系列指南“仅允许在与物理身份验证器强绑定时使用生物识别技术进行身份验证。”
 用於基於知识的身份验证的认知密码是您知道的一种形式，但它们也不是秘密。顾名思义，它们就是知识。
 基於位置的身份验证（您所在的某个地方）不是身份验证因素。
以下是 NIST SP 800-63-3 的摘录：
身份验证系统的经典范例将三个因素确定为身份验证的基石：
• 您知道的东西（例如，密码）。
• 您拥有的东西（例如，ID 徽章或加密密钥）。
• 您的身份（例如，指纹或其他生物特徵数据）。

MFA是指使用以上因素中的一种以上。
身份验证系统的强度在很大程度上取决於系统所包含的因素的数量——采用的因素越多，身份验证系统就越强大。就这些准则而言，使用两个因素足以满足最高的安全要求。
如第 5.1 节所述，RP 或验证者可以使用其他类型的信息（例如位置数据或设备身份）来评估所声明身份中的风险，但它们不被视为身份验证因素。
在数字认证申请人拥有和控制的一个或多个监定人已注册与CSP和用於证明申请人的身份。身份验证器包含索赔人可以用来证明他或她是有效订户的秘密，索赔人通过证明他或她拥有和控制一个或多个身份验证器来对网路上的系统或应用程序进行身份验证。
在本卷中，身份验证器始终包含一个秘密。一些经典的身份验证因素并不直接适用於数字身份验证。例如，物理驾驶执照是您拥有的东西，并且在向人类（例如保安人员）进行身份验证时可能很有用，但它本身并不是数字身份验证的身份验证器。
归类为您所知的身份验证因素也不一定是秘密。 基於知识的身份验证，其中提示申请人回答可能只有申请人知道的问题，也不构成数字身份验证可接受的秘密。一个生物特徵也并不能构成一个秘密。因此，这些指南仅允许在与物理身份验证器强绑定时使用生物识别技术进行身份验证。
来源：NIST SP 800-63-3

参考
. NIST SP 800-63-3
. 你的自拍可能会让你容易受到黑客攻击
. 化妆和假手指——领先於网络骗子
. 照片中隐藏的指纹

资料来源： Wentz Wu QOTD-20210825
My Blog: https://choson.lifenet.com.tw/