现在是2fa之前就验证密码,那么攻击者就能先猜到密码,再碰撞6位2fa
2fa攻击成功率为10^-6,假设密码攻击成功率为p,那么正常的2fa(如cockpit
)攻击成功率为p*10^-6
先在该页面以p概率攻击成功密码,再以10^6攻击2fa
如果说使用的是弱密码(p>>10^-6),那么攻击成功概率为10^-6+p≈10^-6
如果说使用的是强密码(p<<10^-6),那么攻击成功概率仍然为10^-6+p≈p
因此最终攻击成功概率为max(p,10^-6) << p*10^-6
换句话说,这个2fa相当于没有加,如果大家没有使用弱密码的话
2025-8-29 07:42:31
2025-8-29 07:47:15 楼主