複選題

13. 近年來 MFA 身份驗證機制遭攻擊者以網路釣魚攻擊破解之趨勢上升，因此抵禦網路釣魚多因素驗證（Phishing-resistant MFA）機制受到重視，因其可有效降低前述之攻擊成功機率。 下列哪些身份驗證方式符合抵抗網路釣魚攻擊之特性？
(A) FIDO Auth
(B) MMS MFA
(C) PKI-based MFA
(D) 增加密碼長度

(A) FIDO Auth
符合抵禦網路釣魚攻擊的特性。FIDO（Fast Identity Online）認證協議，包括 FIDO2 和 WebAuthn，設計目的是提供一種抗釣魚的多因素驗證方式。FIDO 認證使用公開金鑰加密技術，將驗證過程綁定至特定裝置和網站，無法在其他網站上重複使用。因此，即使攻擊者通過網路釣魚取得使用者的登入資訊，也無法在其他地方使用，因為沒有綁定的硬體設備。

(B) MMS MFA
不符合抵禦網路釣魚攻擊的特性。MMS（Multimedia Messaging Service）是一種用於傳送圖片、影片和短音訊的通訊服務。若是將 MMS 用作多因素驗證，實際上風險會更高，因為 MMS 和 SMS（短訊服務）一樣，容易受到中間人攻擊、SIM 卡交換攻擊和社交工程攻擊，並不具備抗釣魚的特性。因此，MMS 並不是一種安全的 MFA 方式。

(C) PKI-based MFA
符合抵禦網路釣魚攻擊的特性。基於公鑰基礎設施（PKI）的多因素驗證使用公開金鑰和私鑰配對，這些金鑰通常存儲在受保護的硬體（如智慧卡或 USB 安全密鑰）中。這種方式具有抗釣魚的特性，因為驗證過程需要特定硬體設備，並且驗證過程綁定於特定的伺服器，無法在釣魚網站上偽裝重複使用。

(D) 增加密碼長度
不符合抵禦網路釣魚攻擊的特性。增加密碼長度可以增強密碼的強度，讓攻擊者更難猜測或破解密碼，但這並不能防止網路釣魚攻擊。網路釣魚攻擊的目的是讓使用者在惡意網站上輸入其密碼，無論密碼長度多長，若使用者在釣魚網站上輸入密碼，攻擊者仍然可以竊取該密碼。因此，僅增加密碼長度並不具備抗釣魚的特性。