- 综合排序
- 最热优先
- 最新优先
- 来自专栏京程一灯
双因素认证(2FA)教程
越来越多的地方,要求启用双因素认证(Two-factor authentication,简称 2FA)。本文介绍它的概念和实现方法。 ? 下面我用 JavaScript 实现2fa来演示一下真实代码。 首先,安装这个模块。 $ npm install --save 2fa 然后,生成一个32位字符的密钥。 var tfa = require('2fa'); tfa.generateKey(32, function(err, key) { console.log(key); }); Wikipedia Enabling Two-Factor Authentication For Your Web Application, by Bozhidar Bozhanov simontabor/2fa
3.9K20发布于 2019-03-27 - 来自专栏Hugo博客
重新激活Github的2FA认证
结果发现Github官方已经全面启用2FA安全认证要求,只是之前自己“偷懒”并没有做这个功能的认证,原来还有可以使用密码方式绕过去的,但现在也关闭了此入口,难道真的要芭比Q啦。 然后在Github帮助文档中找到有关于使用2FA的场景,官方描述如下: GitHub will only ask you to provide your 2FA authentication code 翻译为:GitHub 仅在你退出登录后、使用新设备、执行敏感操作或会话过期时才会要求你再次提供 2FA 验证码。
69910编辑于 2024-11-20 - 来自专栏阮一峰的网络日志
双因素认证(2FA)教程
越来越多的地方,要求启用双因素认证(Two-factor authentication,简称 2FA)。本文介绍它的概念和实现方法。 下面我用 JavaScript 实现2fa来演示一下真实代码。 首先,安装这个模块。 $ npm install --save 2fa 然后,生成一个32位字符的密钥。 var tfa = require('2fa'); tfa.generateKey(32, function(err, key) { console.log(key); }); // b5jjo0cz87d66mhwa9azplhxiao18zlx Wikipedia Enabling Two-Factor Authentication For Your Web Application, by Bozhidar Bozhanov simontabor/2fa
3.5K100发布于 2018-04-12 - 来自专栏业余草
业余草双因素认证(2FA)教程
越来越多的地方,要求启用双因素认证(Two-factor authentication,简称 2FA)。本文介绍它的概念和实现方法。 ? 下面我用 JavaScript 实现2fa来演示一下真实代码。 首先,安装这个模块。 $ npm install --save 2fa 然后,生成一个32位字符的密钥。 var tfa = require('2fa'); tfa.generateKey(32, function(err, key) { console.log(key); }); // b5jjo0cz87d66mhwa9azplhxiao18zlx Wikipedia Enabling Two-Factor Authentication For Your Web Application, by Bozhidar Bozhanov simontabor/2fa , by Simon Tabor 双因素认证(2FA)的概念 双因素认证(2FA)认证方案
1.1K20发布于 2019-01-21 - 来自专栏工具客栈
密码管理和2FA管理软件
2FA双因素认证 2FA 双因素身份验证 (2FA) 是一种身份和访问管理安全方法,是指需要经过两种形式的身份验证才能访问资源和数据。提高身份认证的安全性。 2FA与MFA(Multi-Factor Authentication)多因素认证的区别是,用户需要使用两个或更多因素或流程来识别用户。 这种类型的 2FA 向你的手机发送信号,以批准/拒绝或接受/拒绝访问网站或应用程序以验证身份的请求。 简单讲TOTP是基于时间戳生成的一次性密码,生成的6位数字一般30秒更新一次,作为2FA的常用认证因素之一。网上很多说2FA或两步认证其实说的就是TOTP。 身份认证之双因素认证 2FA Authy与谷歌Authenticator:双因素验证器比较
3K01编辑于 2023-06-26 - 来自专栏小鑫同学编程历险记
NPM启用双因素身份验证(2FA)
如何启用: 通过账号密码登录NPM; 点击个人头像找到Account选项,如下图: 找到Two Factor Authentication窗口,未开启按钮非Modify 2FA,点击你的按钮开始验证登录密码
1.7K40编辑于 2022-12-26 - 来自专栏01二进制
身份认证之双因素认证 2FA
本文将会介绍目前很多网站常用的一种方式——双因素认证(也叫两步验证,英语:Two-factor authentication,缩写为 2FA)。 双因素认证 2FA 虽然网络世界和真实世界对于身份的表示不尽相同,但是对于身份认证的手段与经验是可以相互借鉴的。在真实世界,对用户的身份认证基本依据可以分为这三种: ?
4.5K20发布于 2021-03-16 - 来自专栏网络安全技术点滴分享
使用CredSniper窃取红队行动中的2FA令牌
使用CredSniper窃取红队行动中的2FA令牌Mike Felch // 随着越来越多组织强制要求使用双因素认证(2FA)来访问GSuite和OWA等外部服务,红队和渗透测试团队需要创新技术来捕获2FA 多年来,出现了多种获取2FA令牌的攻击方式,如伪造手机GSM信号、暴力破解令牌,或寻找禁用多因素认证的遗留门户。近期,攻击者开始通过社会工程诱骗受害者通过短信发送令牌。 API集成CredSniper提供轻量级API,支持快速消费易过期的2FA令牌。API功能包括:查看凭证(GET):https://<钓鱼站点>/creds/view? sniped:存储完整凭证,含2FA信息、IP及地理位置数据。页面克隆技巧使用FireFox插件“Save Page WE”克隆页面并内嵌资源,避免回调风险。 以Gmail为例,认证流程分三阶段:邮箱验证:加载用户头像(通过Google Picaso服务)密码验证:后台验证并检测2FA状态2FA令牌捕获:根据类型(短信/OTP/Yubikey)处理总结CredSniper
25010编辑于 2025-07-31 - 来自专栏鳄鱼儿的技术分享
双因素认证(2FA)原理介绍及实现
双因素认证的概念 双因素认证(Two-factor authentication,简称 2FA),想要了解2FA,我们首先要知道双因素是指什么。
3.8K10编辑于 2024-05-21 - 来自专栏2023日志
登录GitHub要求2FA了,安全且免费密保使用
如果未收到通知,则表示你不是需要启用 2FA 的组的成员,但我们强烈建议启用 2FA。 强制:关于未能启用强制 2FA 的情况如果在 45 天的设置期内未启用 2FA,并且 7 天的宽限期已到期,则在启用 2FA 之前,将无法访问 GitHub.com。 启用 2FA 不会撤销或更改为你的帐户颁发的令牌的行为。 但是,在启用 2FA 之前,锁定的帐户将无法授权新应用或创建新 PAT。 为确保帐户安全,强烈建议启用 2FA,不仅在 GitHub 上启用,在支持 2FA 的其他网站和应用上也要启用。 您可以启用 2FA 以访问 GitHub 和 GitHub Desktop。 适配2FA笔者在7月中旬收到了GitHub官方的通知邮件,要求用户启用双因素身份验证(2FA)。「当时忙着婚礼,记在Todo中」图片图片于是我点击邮件中的点击此处开始按提示尝试开启 2FA。
4.1K01编辑于 2023-10-20 - 来自专栏网络安全技术点滴分享
Nagios Fusion 2FA暴力破解绕过漏洞分析
Nagios Fusion 2FA暴力破解绕过漏洞分析项目概述本项目详细分析了Nagios Fusion应用程序(版本2024R1.2和2024R2)中存在的双因子认证(2FA)暴力破解漏洞。 该漏洞允许攻击者通过暴力猜测一次性密码(OTP)来绕过2FA安全机制,从而获取未经授权的系统访问权限。 漏洞核心问题:缺乏速率限制:2FA验证端点未限制OTP提交尝试次数弱锁定策略:多次OTP验证失败后不会触发账户锁定潜在未授权访问:攻击者可利用此漏洞绕过2FA,访问敏感账户此漏洞源于缺乏针对暴力破解攻击的适当防御措施 ,导致2FA机制在面对定向攻击时失效。 安全缺口2FA本应通过增加熵值和降低暴力破解的可行性来增强安全性。
21710编辑于 2025-12-29 - 来自专栏Python七号
什么是双因素验证 2FA,如何用 Python 实现?
因此就有了 Two-factor authentication,简称 2FA,也就是双因素验证。最常见的就是用户名密码,再加一个动态码。动态码通常由随身携带的移动设备上生成,比如 U 盾、手机。 那么,知道了 2FA,接下来应该考虑的事,就是如何让你用 Python 写的网站实现 2FA。 轮子其实已经有了,那就是 PyOTP,结合自己的理解,分享一下它的用法。 这样,我们用 Google Authenticator 来产生动态密码,网站上进行二次验证,就可以实现 2FA 了。 最后 本文分享了什么是 2FA 以及如何用 Python 实现。
1.7K10编辑于 2022-10-25 - 来自专栏小锋学长生活大爆炸
【踩坑】修复token_extractor卡在2FA双重验证
Xiaomi-cloud-tokens-extractor https://github.com/PiotrMachowski/Xiaomi-cloud-tokens-extractor但最近小米更新后,直接使用这个工具会提示2FA Xiaomi-cloud-tokens-extractor/issues/43#issuecomment-11866151611、先运行 token_extractor.exe (或token_extractor.py也可以) 2、正常登录并运行到2FA 链接 3、复制链接到浏览器里打开 4、在浏览器界面点击键盘F12,并转到网络选项卡 5、执行2FA,完整验证码 6、点击CTRL+F打开搜索字段并搜索 sSecurity userid servicetoken
98010编辑于 2025-05-31 - 来自专栏程序猿DD
GitHub 2FA开启流程卡在没有中国只有台湾,怎么完成?
最近上GitHub一直都会弹出一个黄色框框,提示要开启2FA(two-factor authentication,即:双重身份验证)。 弹了很久,一直都没去处理,今天新血来潮想去掉这个东西。
1.7K30编辑于 2023-09-26 - 来自专栏FreeBuf
利用简单暴力枚举绕过目标系统2FA验证机制
今天分享的这篇Writeup是作者在参与漏洞众测中,针对目标系统的动态口令OTP (One Time Password),通过利用简单的暴力枚举方法,实现了对目标系统双因素验证机制2FA (Two-Factor 目标系统是印度最大的旅行服务公司网站,其采用了动态口令OTP作为双因素验证2FA的实现手段。 为什么我可以绕过2FA? 目标系统对不成功的请求尝试不作速率限制 目标系统对不成功的请求尝试没有新的动态口令措施 前提准备: Web浏览器、BurpSuite。 绕过2FA的复现过程 绕过2FA的复现过程 1、开启BurpSuite,使用手机号码登录目标系统网站,这里,故意输错系统发送到你手机中的动态OTP(这里我们随便输入1234),然后用BurpSuite捕获流量
1.5K20发布于 2019-12-12 - 来自专栏reizhi
WinAuth 在Windows上运行的2FA双因素认证器
2FA 的全程是 Two-Factor Authentication,是一种独立于账户密码的验证程序。 为了提高账户安全性,2FA 的运用其实相当普遍,像是早些年流行的密保卡和银行的动态口令都属于 2FA 的一种。
5K10编辑于 2022-09-26 - 来自专栏公共互联网反网络钓鱼(APCN)
伪装2FA验证的MetaMask钓鱼攻击机制与防御策略研究
本文聚焦于2025年末至2026年初出现的一类新型钓鱼攻击:攻击者通过伪造双因素认证(2FA)流程,诱导用户在仿冒页面中主动提交助记词或私钥。 受害者收到看似来自MetaMask Support的邮件或浏览器通知,声称“为应对近期监管要求,所有用户必须在48小时内完成2FA安全验证”,否则账户将被临时冻结。 恶意广告与弹窗:通过被劫持的广告网络或恶意浏览器扩展,在用户访问加密相关网站时注入弹窗:“MetaMask requires immediate 2FA setup. 方法选择:提供“Authenticator App”或“Email Code”选项(实际无真实发送);助记词验证:关键步骤——页面提示:“To complete 2FA enrollment, please (6) 结语伪装2FA验证的MetaMask钓鱼攻击代表了社会工程与前端仿冒技术的深度融合。其核心威胁不在于技术复杂度,而在于对用户信任机制的精准打击。
15910编辑于 2026-01-22 - 来自专栏公共互联网反网络钓鱼(APCN)
Tycoon 2FA钓鱼平台技术解构与执法阻断机制研究
Tycoon 2FA平台的技术架构与攻击机理Tycoon 2FA之所以能在短时间内造成如此巨大的破坏,根本原因在于其技术架构突破了传统钓鱼网站的局限。 当受害者在钓鱼页面输入用户名和密码并提交时,Tycoon 2FA服务器立即将这些凭证转发给真实服务器。 此时,Tycoon 2FA服务器会将这一MFA挑战实时传递给受害者,受害者在不知情的情况下,将收到的验证码输入到钓鱼页面。Tycoon 2FA服务器捕获该验证码后,立即将其提交给真实服务器。 以下是一个简化的Python代码示例,展示了Tycoon 2FA类平台核心的反向代理逻辑。 犯罪生态运营与社会危害分析Tycoon 2FA不仅仅是一个技术工具,更是一个成熟的网络犯罪商业实体。
15910编辑于 2026-03-08 - 来自专栏公共互联网反网络钓鱼(APCN)
基于Mamba 2FA套件的AiTM攻击机理与防御架构研究
Cyfirma研究团队近期披露的“Mamba 2FA”套件,是此类攻击工具化的典型代表。 2 Mamba 2FA套件架构与攻击链路解析Mamba 2FA并非单一脚本,而是一个包含前端诱饵、后端代理、控制面板及基础设施管理模块的完整生态系统。 2.2 反向代理核心机制Mamba 2FA的核心组件是一个高性能的反向代理服务器。 2.4 反检测与环境感知为了对抗自动化安全扫描,Mamba 2FA集成了精细的指纹识别模块。 Mamba 2FA的高级之处在于其动态内容修改能力。
11810编辑于 2026-02-27 - 来自专栏大前端全栈开发
github和npm开启2FA双重身份验证无法登陆
现在很多应用都强制要求开启2FA双重身份验证来登录,比如码农们常用的 github 和 npm,这样就会导致如果我们无法来获取动态码时,比如手机丢了、误操作把手机上的获取动态码app给删了、app挂了. 当启用了 2FA 时,登录的时候除了用户名和密码外,还必须提供另一种只有你自己知道或可以访问的身份验证形式。这样就是别人盗取到了你的用户名和密码也没办法登录你的账号了,对我们来说也更加的安全。 github 和 npm 从2023年起就强制要求账号只能用 2FA 登录了。TOTP应用另外一种验证形式其实就是跟短信验证码一样,需要实时来获取,而且每次生成的动态码30秒后就会失效。 之前 github 刚要强制开启 2FA 时我也是一脸懵逼,直接按照网上的教程在我的 iphone 上下了个“神锁离线版” app 装上后也一直用得好好的,直到今天我想登录下 github 再次打开手机上的 github-recovery-codes.txt 文件,里面记录的就是很多个码,在 github 登录界面输入用户名密码后可以点击最下面的:Use a recovery code or begin 2FA
1.6K00编辑于 2025-03-25
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号