Możesz pomyśleć, że włączenie uwierzytelniania dwuskładnikowego na swoim koncie sprawia, że ​​jest ono w 100% bezpieczne. Uwierzytelnianie dwuskładnikowe^{(Two-factor authentication)} to jedna z najlepszych metod ochrony konta. Ale możesz być zaskoczony słysząc, że Twoje konto może zostać przejęte pomimo włączenia uwierzytelniania dwuskładnikowego. W tym artykule przedstawimy różne sposoby, w jakie atakujący mogą ominąć uwierzytelnianie dwuskładnikowe.

Co to jest uwierzytelnianie^{(Authentication)} dwuskładnikowe (2FA)?

Zanim zaczniemy, zobaczmy, czym jest 2FA. Wiesz, że musisz podać hasło, aby zalogować się na swoje konto. Bez poprawnego hasła nie możesz się zalogować. 2FA to proces dodawania dodatkowej warstwy bezpieczeństwa do Twojego konta. Po jej włączeniu nie możesz zalogować się na swoje konto, wpisując tylko hasło. Musisz wykonać jeszcze jeden krok bezpieczeństwa. Oznacza to, że w 2FA witryna weryfikuje użytkownika w dwóch krokach.

Przeczytaj^(Read) : Jak włączyć weryfikację dwuetapową na koncie Microsoft^{(How to Enable 2-step Verification in Microsoft Account)} .

Jak działa 2FA?

Rozumiemy zasadę działania uwierzytelniania dwuskładnikowego. 2FA wymaga dwukrotnej weryfikacji. Po wpisaniu nazwy użytkownika i hasła zostaniesz przekierowany na inną stronę, na której musisz podać drugi dowód, że jesteś prawdziwą osobą próbującą się zalogować. Witryna może skorzystać z dowolnej z następujących metod weryfikacji:

OTP (jednorazowe hasło)

Po wpisaniu hasła serwis prosi o weryfikację poprzez wpisanie hasła OTP wysłanego na zarejestrowany numer telefonu komórkowego. Po wpisaniu poprawnego hasła OTP^(OTP) możesz zalogować się na swoje konto.

Szybkie powiadomienie

Monitowe powiadomienie jest wyświetlane na smartfonie, jeśli jest on połączony z Internetem. Musisz zweryfikować się, dotykając przycisku „ Tak^(Yes) ”. Następnie zostaniesz zalogowany na swoje konto na swoim komputerze.

Kody zapasowe

Kody zapasowe^(Backup) są przydatne, gdy powyższe dwie metody weryfikacji nie działają. Możesz zalogować się na swoje konto, wprowadzając jeden z kodów zapasowych pobranych z konta.

Aplikacja uwierzytelniająca

W tej metodzie musisz połączyć swoje konto z aplikacją uwierzytelniającą. Za każdym razem, gdy chcesz zalogować się na swoje konto, musisz wprowadzić kod wyświetlany w aplikacji uwierzytelniającej zainstalowanej na smartfonie.

Istnieje kilka innych metod weryfikacji, z których może skorzystać strona internetowa.

Przeczytaj^(Read) : Jak dodać weryfikację dwuetapową do swojego konta Google^{(How To Add Two-step Verification To Your Google Account)} .

Jak hakerzy mogą obejść uwierzytelnianie dwuskładnikowe^{(Two-factor Authentication)}

Niewątpliwie 2FA zwiększa bezpieczeństwo Twojego konta. Jednak wciąż istnieje wiele sposobów, dzięki którym hakerzy mogą ominąć tę warstwę bezpieczeństwa.

1] Kradzież plików cookie^{(Cookie Stealing)} lub przejmowanie sesji^{(Session Hijacking)}

Kradzież plików cookie lub przejmowanie sesji^{(Cookie stealing or session hijacking)} to metoda kradzieży plików cookie sesji użytkownika. Gdy hakerowi uda się wykraść plik cookie sesji, może z łatwością ominąć uwierzytelnianie dwuskładnikowe. Atakujący znają wiele metod przejmowania kontroli, takich jak utrwalanie sesji, sniffing sesji, cross-site scripting, atak złośliwego oprogramowania itp. Evilginx jest jedną z popularnych platform używanych przez hakerów do przeprowadzania ataku typu man-in-the-middle. W tej metodzie haker wysyła do użytkownika łącze phishingowe, które przenosi go na stronę logowania proxy. Kiedy użytkownik loguje się na swoje konto za pomocą 2FA, Evilginx przechwytuje jego dane logowania wraz z kodem uwierzytelniającym. Od czasu OTPwygasa po użyciu, a także ważny przez określony czas, nie ma sensu przechwytywać kodu uwierzytelniającego. Haker ma jednak sesyjne pliki cookie użytkownika, za pomocą których może zalogować się na swoje konto i ominąć uwierzytelnianie dwuskładnikowe.

2] Generowanie duplikatu kodu

Jeśli korzystałeś z aplikacji Google Authenticator , wiesz, że generuje ona nowe kody po określonym czasie. Google Authenticator i inne aplikacje uwierzytelniające działają na określonym algorytmie. Generatory kodu losowego^(Random) zazwyczaj zaczynają się od wartości początkowej, aby wygenerować pierwszą liczbę. Algorytm wykorzystuje następnie tę pierwszą wartość do wygenerowania pozostałych wartości kodu. Jeśli haker jest w stanie zrozumieć ten algorytm, może łatwo stworzyć duplikat kodu i zalogować się na konto użytkownika.

3] Brutalna siła

Brute Force to technika generowania wszystkich możliwych kombinacji haseł. Czas złamania hasła metodą brute force zależy od jego długości. Im dłuższe hasło, tym więcej czasu zajmuje jego złamanie. Ogólnie kody uwierzytelniające mają długość od 4 do 6 cyfr, hakerzy mogą spróbować brutalnej próby ominięcia 2FA. Ale dzisiaj wskaźnik powodzenia ataków brute force jest mniejszy. Dzieje się tak, ponieważ kod uwierzytelniający pozostaje ważny tylko przez krótki czas.

4] Inżynieria społeczna

Inżynieria społeczna to technika, w której atakujący próbuje oszukać umysł użytkownika i zmusza go do wprowadzenia swoich danych logowania na fałszywej stronie logowania. Bez względu na to, czy atakujący zna Twoją nazwę użytkownika i hasło, czy nie, może ominąć uwierzytelnianie dwuskładnikowe. Jak? Zobaczmy:

Rozważmy pierwszy przypadek, w którym atakujący zna Twoją nazwę użytkownika i hasło. Nie może zalogować się na twoje konto, ponieważ włączyłeś 2FA. Aby uzyskać kod, może wysłać ci wiadomość e-mail ze złośliwym linkiem, wywołując w tobie strach, że twoje konto może zostać zhakowane, jeśli nie podejmiesz natychmiastowych działań. Po kliknięciu tego linku zostaniesz przekierowany na stronę hakera, która naśladuje autentyczność oryginalnej strony internetowej. Gdy wpiszesz hasło, Twoje konto zostanie zhakowane.

Rozważmy teraz inny przypadek, w którym haker nie zna Twojej nazwy użytkownika i hasła. Ponownie^(Again) , w tym przypadku, wysyła ci link do phishingu i kradnie twoją nazwę użytkownika i hasło wraz z kodem 2FA.

5] Autoryzacja OAuth

Integracja OAuth^(OAuth) zapewnia użytkownikom możliwość logowania się na swoje konto za pomocą konta innej firmy. Jest to renomowana aplikacja internetowa, która wykorzystuje tokeny autoryzacyjne do potwierdzania tożsamości między użytkownikami a dostawcami usług. Możesz rozważyć OAuth jako alternatywny sposób logowania się na swoje konta.

Mechanizm OAuth^(OAuth) działa w następujący sposób:

1. Witryna A prosi Witrynę B^{(Site B)} (np . Facebook ) o token uwierzytelniający.
2. Witryna B^{(Site B)} uważa, że ​​żądanie jest generowane przez użytkownika i weryfikuje konto użytkownika.
3. Witryna B^{(Site B)} wysyła następnie kod wywołania zwrotnego i umożliwia atakującemu zalogowanie się.

W powyższych procesach widzieliśmy, że atakujący nie wymaga weryfikacji przez 2FA. Ale aby ten mechanizm omijania działał, haker powinien mieć nazwę użytkownika i hasło do konta użytkownika.

W ten sposób hakerzy mogą ominąć dwuskładnikowe uwierzytelnianie konta użytkownika.

Jak zapobiec omijaniu 2FA?

Hakerzy mogą rzeczywiście ominąć uwierzytelnianie dwuskładnikowe, ale w każdej metodzie potrzebują zgody użytkowników, którą uzyskują, oszukując ich. Bez oszukiwania użytkowników ominięcie 2FA nie jest możliwe. Dlatego^(Hence) powinieneś zadbać o następujące punkty:

• Przed kliknięciem w jakikolwiek link sprawdź jego autentyczność. Możesz to zrobić, sprawdzając adres e-mail nadawcy.
• Utwórz silne hasło^{(Create a strong password)} zawierające kombinację liter, cyfr i znaków specjalnych.
• Używaj^(Use) tylko oryginalnych aplikacji uwierzytelniających, takich jak Google Authenticator, Microsoft Authenticator itp.
• Pobierz^(Download) i zapisz kody zapasowe w bezpiecznym miejscu.
• Nigdy nie ufaj wiadomościom phishingowym, których hakerzy używają do oszukiwania umysłów użytkowników.
• Nie udostępniaj nikomu kodów bezpieczeństwa.
• Skonfiguruj^(Setup) klucz bezpieczeństwa na swoim koncie, alternatywę dla 2FA.
• Regularnie zmieniaj hasło.

Przeczytaj^(Read) : Wskazówki, jak trzymać hakerów z dala od komputera z systemem Windows^{(Tips to Keep Hackers out of your Windows computer)} .

Wniosek

Uwierzytelnianie dwuskładnikowe to skuteczna warstwa bezpieczeństwa, która chroni Twoje konto przed przejęciem. Hakerzy zawsze chcą mieć szansę na ominięcie 2FA. Jeśli znasz różne mechanizmy hakerskie i regularnie zmieniasz hasło, możesz lepiej chronić swoje konto.

How Hackers can get around Two-factor Authentication

You may think that enabling two-factor authentiсation on your account makes it 100% secure. Two-factor authentication is among the best methods to protect your account. But you may be surprised to hear that your account can be hijacked despite enabling two-factor authentication. In this article, we will tell you the different ways by which attackers can bypass two-factor authentication.

What is Two-factor Authentication (2FA)?

Before we begin, let’s see what 2FA is. You know that you have to enter a password to log into your account. Without the correct password, you cannot log in. 2FA is the process of adding an extra security layer to your account. After enabling it, you cannot log into your account by entering the password only. You have to complete one more security step. This means in 2FA, the website verifies the user in two steps.

Read: How to Enable 2-step Verification in Microsoft Account.

How Does 2FA Work?

Let’s understand the working principle of two-factor authentication. The 2FA requires you to verify yourself two times. When you enter your username and password, you will be redirected to another page, where you have to provide a second proof that you are the real person trying to log in. A website can use any of the following verification methods:

OTP (One Time Password)

After entering the password, the website tells you to verify yourself by entering the OTP sent on your registered mobile number. After entering the correct OTP, you can log into your account.

Prompt Notification

Prompt notification is displayed on your smartphone if it is connected to the internet. You have to verify yourself by tapping on the “Yes” button. After that, you will be logged into your account on your PC.

Backup Codes

Backup codes are useful when the above two methods of verification won’t work. You can log into your account by entering any one of the backup codes you have downloaded from your account.

Authenticator App

In this method, you have to connect your account with an authenticator app. Whenever you want to log into your account, you have to enter the code displayed on the authenticator app installed on your smartphone.

There are several more methods of verification that a website can use.

Read: How To Add Two-step Verification To Your Google Account.

How Hackers can get around Two-factor Authentication

Undoubtedly, 2FA makes your account more secure. But there are still many ways by which hackers can bypass this security layer.

1] Cookie Stealing or Session Hijacking

Cookie stealing or session hijacking is the method of stealing the session cookie of the user. Once the hacker gets success in stealing the session cookie, he can easily bypass the two-factor authentication. Attackers know many methods of hijacking, like session fixation, session sniffing, cross-site scripting, malware attack, etc. Evilginx is among the popular frameworks that hackers use to perform a man-in-the-middle attack. In this method, the hacker sends a phishing link to the user that takes him to a proxy login page. When the user logs into his account using 2FA, Evilginx captures his login credentials along with the authentication code. Since the OTP expires after using it and also valid for a particular time frame, there is no use in capturing the authentication code. But the hacker has the user’s session cookies, which he can use to log into his account and bypass the two-factor authentication.

2] Duplicate Code Generation

If you have used the Google Authenticator app, you know that it generates new codes after a particular time. Google Authenticator and other authenticator apps work on a particular algorithm. Random code generators generally start with a seed value to generate the first number. The algorithm then uses this first value to generate the remaining code values. If the hacker is able to understand this algorithm, he can easily create a duplicate code and log into the user’s account.

3] Brute Force

Brute Force is a technique to generate all the possible password combinations. The time for cracking a password using brute force depends on its length. The longer the password is, the more time it takes to crack it. Generally, the authentication codes are from 4 to 6 digits long, hackers can try a brute force attempt to bypass the 2FA. But today, the success rate of brute force attacks is less. This is because the authentication code remains valid only for a short period.

4] Social Engineering

Social Engineering is the technique in which an attacker tries to trick the user’s mind and forces him to enter his login credentials on a fake login page. No matter whether the attacker knows your username and password or not, he can bypass the two-factor authentication. How? Let’s see:

Let’s consider the first case in which the attacker knows your username and password. He cannot log into your account because you have enabled 2FA. To get the code, he can send you an email with a malicious link, creating a fear in you that your account can be hacked if you do not take immediate action. When you click on that link, you will be redirected to the hacker’s page that mimics the authenticity of the original webpage. Once you enter the passcode, your account will be hacked.

Now, let’s take another case in which the hacker does not know your username and password. Again, in this case, he sends you a phishing link and steals your username and password along with the 2FA code.

5] OAuth

OAuth integration provides users with a facility to log into their account using a third-party account. It is a reputed web application that uses authorization tokens to prove identity between the users and service providers. You can consider OAuth an alternate way to log into your accounts.

An OAuth mechanism works in the following way:

1. Site A requests Site B (e.g. Facebook) for an authentication token.
2. Site B considers that the request is generated by the user and verifies the user’s account.
3. Site B then sends a callback code and lets the attacker sign in.

In the above processes, we have seen that the attacker does not require to verify himself via 2FA. But for this bypass mechanism to work, the hacker should have the user’s account username and password.

This is how hackers can bypass the two-factor authentication of a user’s account.

How to prevent 2FA bypassing?

Hackers can indeed bypass the two-factor authentication, but in each method, they need the users’ consent which they get by tricking them. Without tricking the users, bypassing 2FA is not possible. Hence, you should take care of the following points:

• Before clicking on any link, please check its authenticity. You can do this by checking the sender’s email address.
• Create a strong password that contains a combination of alphabets, numbers, and special characters.
• Use only genuine authenticator apps, like Google authenticator, Microsoft authenticator, etc.
• Download and save the backup codes at a safe place.
• Never trust phishing emails that hackers use to trick the users’ minds.
• Do not share security codes with anyone.
• Setup security key on your account, an alternative to 2FA.
• Keep changing your password regularly.

Read: Tips to Keep Hackers out of your Windows computer.

Conclusion

Two-factor authentication is an effective security layer that protects your account from hijacking. Hackers always want to get a chance to bypass 2FA. If you are aware of different hacking mechanisms and change your password regularly, you can protect your account better.

Related posts

• Jak włączyć uwierzytelnianie dwuskładnikowe w Discord

• Jak prawidłowo skonfigurować opcje odzyskiwania i tworzenia kopii zapasowych dla uwierzytelniania dwuskładnikowego

• Jak zainstalować Drupala za pomocą WAMP w systemie Windows

• Najlepsze oprogramowanie i sprzęt Portfele Bitcoin dla Windows, iOS, Android

• Skonfiguruj darmową internetową stację radiową na komputerze z systemem Windows

• Darmowe oprogramowanie do zarządzania zadaniami do zarządzania pracą zespołową

• Zablokowany dostęp do Plex Server i ustawień serwera? Oto poprawka!

• Jak zamknąć konto Payoneer?

• NASA's Eyes pomaga odkrywać Wszechświat niczym astronauci

• Co to jest syndrom głupiego okna - wyjaśnienie i zapobieganie

• Aplikacja do przesyłania wiadomości sesyjnych zapewnia silne zabezpieczenia; Numer telefonu nie jest wymagany!

• Czym jest Wyzwanie Niebieski Wieloryb Dare Game

• Co to są wirtualne karty kredytowe oraz jak i gdzie je zdobyć?

• Najlepsze plecaki na laptopa dla mężczyzn i kobiet

• Microsoft Identity Manager: funkcje, pobieranie

• Jak zainstalować Windows 95 na Windows 10?

• Organizator SMS: Aplikacja SMS oparta na uczeniu maszynowym

• Co to jest link Magnet i jak otwierać linki Magnet w przeglądarce

• Najlepsze stoły do ​​​​laptopów do kupienia online

• Automate.io to bezpłatne narzędzie do automatyzacji i alternatywa dla IFTTT