两步验证是针对那种只要知道密码就能登陆的情况,第一步先输入登录密码,第二步再输入一个短信验证码(比如drobpx)或者认证器生成的一小段代码(比如google和steam)。看似好像坚不可摧
你不可能或者很难同时获得用户的密码和验证码。可是钓鱼攻击可以完美破解两步验证,只需要做一个和目标网站一模一样的网站(很简单),给用户发送一封邮件,说账户异地登陆了,必须改密码,然后截取用户输入的密码和验证码之后迅速登陆即可。国外有很多重量级的人物邮箱都被曾经攻破过,难道他们不知道两步验证?非也,钓鱼攻击并不是针对技术上的薄弱点(网页有漏洞),而是针对一个人的安全意识。
比如:1 i l三个字母的区分,o 0的区分。有些人有一些思维定势,觉得只要域名是官方的就不会存在钓鱼攻击,这种想法很可怕,比如url中常见的跳转url的参数就极有可能被用来钓鱼,百度和google都有这种跳转参数。
还有利用data URI钓鱼的,
随着移动互联网的发展短网址和二维码都给钓鱼攻击带来了便利,还有移动浏览器本身的地址栏就比较短,有时候不能够容纳较长的url,用户也容易上当。
总之呢,钓鱼攻击也是随着技术的发展与科技的进步而改变的,普通用户还是要多增长见识才是。
原文:http://www.cnblogs.com/yfish/p/6361427.html