这是来自 CertiVox 的 Brian。

我将逐行回答您的问题：

MITM 场景不像 SQRL 那样是不可能的，因为 MITM 的浏览器中没有令牌。

你是对的，MITM 场景是不可能的，因为 M-Pin 是一个零知识证明挑战响应协议。MITM 攻击者只会看到大量数字飞过。攻击者可以做的最糟糕的事情是修改挑战或响应，在这种情况下，身份验证将失败。

由于令牌存储在浏览器中，这成为任何攻击者的主要目标。

这是真的。但是，建议我们的客户使用 CONTENT-SECURITY-POLICY HTTP Header，因为 M-Pin PinPad 在打开此设置的情况下可以正常工作。这可以防止几乎所有可能的已知 XSS 攻击。仅当浏览器（计算机）感染了恶意软件时，才有可能对 LocalStorage 进行离线攻击。据我所知，目前还没有可以解决该问题的单设备身份验证解决方案。此外，正如您所提到的，我们有一个 M-Pin 移动应用程序（HTML5、iOS 和 Android），可以将您的令牌保存在您的手机而不是浏览器中。这将启用“全局身份验证器”模式，以便您可以使用它远程登录到桌面会话。添加 TEE 支持后，令牌不仅在您的手机中，而且在您手机内的安全硬件中。

但是，我认为您可能错过了 M-Pin 的要点；正如您所说，攻击者（个人）的目标现在是破坏其身份验证凭据的唯一方法。

目前新闻周期中的大问题是攻击者正在从大型企业系统内的凭证文件或密码数据库中窃取每个人的密码——从服务器而不是客户端。

这才是 M-PIN 解决的真正问题。

M-Pin 服务器永远不会存储身份验证凭据。如果你把它们加盐和哈希 30 轮也没关系。如果您处于受监管的行业，您有义务告诉全世界您已被黑客入侵，并建议用户更改密码。这可能会导致客户失去信心。参见 Yahoo、eBay、Evernote、LinkedIn 等。

因此，如果您是一家企业或正在运行移动应用程序或 Web 应用程序，则将 M-Pin 作为您的身份验证平台可以消除威胁向量和声誉受损风险。

浏览器中的 PIN 条目很容易受到肩冲浪的影响，尽管没有浏览器令牌是无用的。

确切地。与仅密码相比，它显然消除了这种风险。

所以你是对的，没有令牌作为攻击手段，肩部冲浪毫无用处。

此外，在新的 3.4 版本（即处于测试阶段）中，我们实现了键盘输入支持，这将帮助您输入 PIN 码，而不必担心有人会在您的显示器上看到它。

网络钓鱼攻击可以检索 PIN，如果没有浏览器令牌，同样无用。

这实际上是 M-Pin 的强大优势之一。任何恶搞网站都可以提示用户输入一些私人信息。在 M-Pin 的情况下，该信息只能是 PIN。没有令牌和没有 M-Pin ID（每个注册的浏览器都不同），该 PIN 完全没有用。此外，恶搞网站无法知道用户身份——当询问 PIN 号码时，它会显示在 PinPad 中。

与 LastPass 相比，他们试图帮助管理密码。CertiVox M-Pin 旨在完全消除它们。我们的“M-Pin Core”价值主张不是针对个人（如 LastPass），我们的目标是开发人员和/或 CISO/安全专业人员，他们正在实施大型互联网规模应用程序并希望消除来自使用基于密码的身份验证。

我们的“M-Pin SSO”服务器面向希望将 M-Pin 强身份验证与内部或外部启用 SAML/RADIUS 的应用程序联合的企业。

希望有帮助。

干杯，布赖恩