Bypassing Duo Two-Factor Authentication (Fail Open)

绕过 Duo 的双因素身份验证。其实思路很简单，将远端 server 验证的服务器通过改掉 hosts 表指向本地，然后就得到 2FA 的验证密钥啦！

关于 2FA，我还是想多说两句，感觉业界对于 2FA 寄予太多的信任，而忽略了 2FA 的本质只是提升安全性，而非什么终极安全的大杀器！历史众多的实例往往证明这么一个诡异的道理，越是安全，反而越容易成为漏洞。

尤其是手机验证码的 2FA，感觉中国的企业跟手机号码绑定得太密切了，得到你的手机后，几乎可以无所不能，修改密码开通服务，没有什么是拿到你的手机后搞不定的，而这中间需要的就是得到你的手机号码和企业发给你的短信验证码。

短信验证码看起来很安全，实际上却是漏洞太多，且不说每个人的手机装的 App，手机天生就不安全，最关键的通道，就是电信运营商，出现的问题实在太多了，根本不足以承载每个人的手机验证码的份量。

我好像说得有点多了，大概意思就是这样，大家将就理解吧