双因子认证（2FA）是指结合暗码以及实物（信用卡、SMS手机、令牌或指纹等生物标识表记标帜）两种条件对用户进行认证的要领。这种要领已经为企业所给与，主要用于增加账户的安适性，更好的掩护用户的账户安适。

与其他大大都网络处事商一样，PayPal也为用户供给了双重验证的选项。双重验证的一个特点就是：在用户测验考试使用用户名和暗码登录账户时，处事器会向用户发送一次性的短信验证码来验证手机。用户需要有手机处事才华接收随处事器发送的验证码。如果没有手机信号，那他们就没有步伐接收处事器发送的验证码，换句话说，他们就不能通过标准的双重验证模式登录账户。

然而，英国安适研究专家Henry Hoggard还是发明了一个非常简单的要领来绕过PayPal的双重验证机制。绕过双重验证机制后，黑客可以在一分钟内轻松掌控用户的PayPal账户。

这个要领是Hoggard在一家没有手机处事（就是我们说的没有信号）的酒店内偶然发明的。

Hoggard暗示，问题呈此刻“测验考试其他方法”这个链接上。PayPal向帐户所有者供给此选项，以便他们在手机没有信号或设备不在身边的情况下，依然可以使用本身的账户。当呈现手机无信号或者设备无法连接的情况时，PayPal便要求用户回答密保问题。

Hoggard发明，如果打击者运行一个代办代理处事器，就可以拦截和生存PayPal处事器的请求，这使得打击者能篡改HTTP数据并欺骗PayPal允许打击者进入被黑账户。

此外，打击者需要从HTTP请求中删除“securityQuestion0”和“securityQuestion1”参数。这种打击对打击者程度要求并不高，根基上属于入门程度的打击。

具体法式：

1.Hoggard登录了他的PayPal账户并点击了“try another way”，他收到了来自PayPal的询问，是否允许PayPal发送一次性2SV验证码给他。

2.Hoggard选择回答密保问题，但他并没有用本身设置的独一暗码，而是在供给的文本框中随便输入了一个暗码。

3.在此，Hoggard操作代办代理，从POST数据中去失了两个密保问题。

selectOption=SECURITY_QUESTION&securityQuestion0=test&securityQuestion1=test&jsEnabled=1&execution=e2s1&_sms_ivr_continue_btn_label=Continue&_default_btn_lable=Continue&_eventId_continue=Continue

4.然后，颁布数据。令人惊奇的是，账户居然通过验证了（小编眼睛被辣了，赔钱）。

这是一个真实的案例，并不是在说笑，虽然简单，但非常有用。如果打击者掌握了受害者的PayPal用户名和暗码，他们就可以绕过2SV并登录受害者的账户。

由于这个缝隙具有很大的威胁，Hoggard在本年10月3日将此问题反馈给PayPal，颠末缜密的查询拜访后，PayPal已经在10月21日将该缝隙修复。

一般来说，针对种种web处事都应该给与双重认证，以保证进一步的安适性。除此之外， 他们还应该有备选的认证方案，这样，就算在移动设备丢掉的情况下，照常能够访谒他们的帐户。