本书主要内容 ● MFA的技术原理，以及如何破解MFA技术 ● 不同类型的MFA技术的优缺点 ● 如何开发或选择一个更安全的MFA解决方案 ● 如何从数百个MFA解决方案中为自己的环境选择**方案

Roger A. Grimes是全球知名的安全顾问，是拥有逾30年工作经验的计算机安全专家和渗透测试工程师。Roger担任InfoWorld/CSO杂志的专栏作家长达15年之久，也是一位广受欢迎的演讲者，曾在包括RSA、Black Hat和TechMentor在内的大型安全行业会议上发表演讲。

前　　言 本书起源于一个有趣的偶然事件。其实原因是，全球极负盛名的KnowBe4 公司的合伙人兼首席攻击方官Kevin Mitnick 曾做过一次公开演讲，Kevin 在演讲中展示了如何通过一个简单的网络钓鱼电子邮件轻松“破解”双因素身份验证技术。Kevin 比Roger 出名得多，成千上万的人观看了Kevin 的攻击演示。很多观众给Kevin 写信，询问关于这次演示的内容的更多细节。 很多参与本次演讲的观众写信要求采访Kevin，Kevin 抽不开身；于是，KnowBe4公关团队询问同在 KnowBe4 工作的Roger 能否伸出援手，替Kevin 回答部分问题。 Roger 在破解不同的MFA 解决方案方面有几十年的经验，Roger 很荣幸遇到这样一个机会。习惯于报道计算机安全话题的记者经常问，KnowBe4 是否已向MITRE CVE(通用漏洞披露列表，网址是[1])报告了Kevin 利用的漏洞。CVE 用于列出和跟踪大多数新的或旧的网络安全漏洞。当安全专家发现了一个全新漏洞时，通常会向CVE 报告，并附上相关细节。在网络安全领域，大多数安全专家都会跟踪CVE 列表，查看发现了什么新漏洞，斟酌是否真的需要担心该漏洞。 Roger 会心一笑。Kevin 演示的攻击方式(称为会话Cookie 劫持，本书第6 章中有介绍)已存在了几十年，并非新鲜事物，事实上是最常见的网络攻击形式之一。有几十种免费的攻击工具可帮助攻击方完成该攻击，30 年来会话Cookie 劫持很可能已用来接管了数百万个用户账户。从20 世纪90 年代末开始，会话Cookie 劫持已用于接管...