问如何限制网络钓鱼风险？

EN

我同意另外两个答案，但当SSO正确实现时，还有一些其他的好处。

• 用户输入密码的次数较少
• 用户没有多个密码来跟踪
• 用户只看到一个登录页面，他们就知道它是什么样子的。

当用户没有几个不同的登录页面可以访问时，他们就能更好地判断出什么地方出了问题。

较新的SSO形式，如OAuth2，只会提供安全令牌供客户端使用，以验证用户是否实际获得授权。它不会泄露他们的用户名、密码或其他任何东西。这只是一个断言，根据身份提供者，它是一个真正的用户，通过任何方式，他们已经证明了自己，他们有一些独特的特定于该提供者的识别器。

他们可以使用智能卡、指纹或其他生物识别技术等，而且他们已经证明了自己是谁，但仅此而已。使用这些SSO形式的钓鱼攻击是没有意义的，因为它们既得不到用户使用的凭据，也得不到它们拥有的任何其他帐户的信息。生成的令牌也仅对特定的应用程序有效，因此它们甚至不能使用该令牌访问用户可能访问的其他服务。

SSO背后的想法是，它可以防止用户更频繁地输入凭据，从而减少潜在的攻击面。请注意，它确实说可以减少钓鱼。它还帮助消除了另一个非常常见的问题:人们写下密码，并把它们留在显而易见的地方(如果他们只有一个可以记住的话，他们就不太可能把密码写下来)。

使用SSO还有许多其他好处，从防止密码回收，到降低低效率(这两个用户都必须经常输入单独的凭据，以及忘记其他密码时的支持时间)。