• 说说两步验证和钓鱼攻击


    两步验证是针对那种只要知道密码就能登陆的情况,第一步先输入登录密码,第二步再输入一个短信验证码(比如drobpx)或者认证器生成的一小段代码(比如google和steam)。看似好像坚不可摧

    你不可能或者很难同时获得用户的密码和验证码。可是钓鱼攻击可以完美破解两步验证,只需要做一个和目标网站一模一样的网站(很简单),给用户发送一封邮件,说账户异地登陆了,必须改密码,然后截取用户输入的密码和验证码之后迅速登陆即可。国外有很多重量级的人物邮箱都被曾经攻破过,难道他们不知道两步验证?非也,钓鱼攻击并不是针对技术上的薄弱点(网页有漏洞),而是针对一个人的安全意识。

    比如:1 i l三个字母的区分,o 0的区分。有些人有一些思维定势,觉得只要域名是官方的就不会存在钓鱼攻击,这种想法很可怕,比如url中常见的跳转url的参数就极有可能被用来钓鱼,百度和google都有这种跳转参数。

    还有利用data URI钓鱼的,

    随着移动互联网的发展短网址和二维码都给钓鱼攻击带来了便利,还有移动浏览器本身的地址栏就比较短,有时候不能够容纳较长的url,用户也容易上当。

    总之呢,钓鱼攻击也是随着技术的发展与科技的进步而改变的,普通用户还是要多增长见识才是。

  • 相关阅读:
    在Windows系统下搭建ELK日志分析平台
    ELK安装成windows服务
    ElasticSearch NEST笔记
    ElasticSearch5.0——IK词库加载
    ElasticSearch速学
    搜索引擎选择: Elasticsearch与Solr
    windows文件名太长无法删除的解决办法
    Elasticsearch(八)【NEST高级客户端--Mapping映射】
    elasticsearch 配置详解
    Elasticsearch(八)【NEST高级客户端--分析器】
  • 原文地址:https://www.cnblogs.com/yfish/p/6361427.html
Copyright © 2020-2023  润新知