Jak hakerzy mogą obejść uwierzytelnianie dwuskładnikowe
Możesz pomyśleć, że włączenie uwierzytelniania dwuskładnikowego na swoim koncie sprawia, że jest ono w 100% bezpieczne. Uwierzytelnianie dwuskładnikowe(Two-factor authentication) to jedna z najlepszych metod ochrony konta. Ale możesz być zaskoczony słysząc, że Twoje konto może zostać przejęte pomimo włączenia uwierzytelniania dwuskładnikowego. W tym artykule przedstawimy różne sposoby, w jakie atakujący mogą ominąć uwierzytelnianie dwuskładnikowe.
Co to jest uwierzytelnianie(Authentication) dwuskładnikowe (2FA)?
Zanim zaczniemy, zobaczmy, czym jest 2FA. Wiesz, że musisz podać hasło, aby zalogować się na swoje konto. Bez poprawnego hasła nie możesz się zalogować. 2FA to proces dodawania dodatkowej warstwy bezpieczeństwa do Twojego konta. Po jej włączeniu nie możesz zalogować się na swoje konto, wpisując tylko hasło. Musisz wykonać jeszcze jeden krok bezpieczeństwa. Oznacza to, że w 2FA witryna weryfikuje użytkownika w dwóch krokach.
Przeczytaj(Read) : Jak włączyć weryfikację dwuetapową na koncie Microsoft(How to Enable 2-step Verification in Microsoft Account) .
Jak działa 2FA?
Rozumiemy zasadę działania uwierzytelniania dwuskładnikowego. 2FA wymaga dwukrotnej weryfikacji. Po wpisaniu nazwy użytkownika i hasła zostaniesz przekierowany na inną stronę, na której musisz podać drugi dowód, że jesteś prawdziwą osobą próbującą się zalogować. Witryna może skorzystać z dowolnej z następujących metod weryfikacji:
OTP (jednorazowe hasło)
Po wpisaniu hasła serwis prosi o weryfikację poprzez wpisanie hasła OTP wysłanego na zarejestrowany numer telefonu komórkowego. Po wpisaniu poprawnego hasła OTP(OTP) możesz zalogować się na swoje konto.
Szybkie powiadomienie
Monitowe powiadomienie jest wyświetlane na smartfonie, jeśli jest on połączony z Internetem. Musisz zweryfikować się, dotykając przycisku „ Tak(Yes) ”. Następnie zostaniesz zalogowany na swoje konto na swoim komputerze.
Kody zapasowe
Kody zapasowe(Backup) są przydatne, gdy powyższe dwie metody weryfikacji nie działają. Możesz zalogować się na swoje konto, wprowadzając jeden z kodów zapasowych pobranych z konta.
Aplikacja uwierzytelniająca
W tej metodzie musisz połączyć swoje konto z aplikacją uwierzytelniającą. Za każdym razem, gdy chcesz zalogować się na swoje konto, musisz wprowadzić kod wyświetlany w aplikacji uwierzytelniającej zainstalowanej na smartfonie.
Istnieje kilka innych metod weryfikacji, z których może skorzystać strona internetowa.
Przeczytaj(Read) : Jak dodać weryfikację dwuetapową do swojego konta Google(How To Add Two-step Verification To Your Google Account) .
Jak hakerzy mogą obejść uwierzytelnianie dwuskładnikowe(Two-factor Authentication)
Niewątpliwie 2FA zwiększa bezpieczeństwo Twojego konta. Jednak wciąż istnieje wiele sposobów, dzięki którym hakerzy mogą ominąć tę warstwę bezpieczeństwa.
1] Kradzież plików cookie(Cookie Stealing) lub przejmowanie sesji(Session Hijacking)
Kradzież plików cookie lub przejmowanie sesji(Cookie stealing or session hijacking) to metoda kradzieży plików cookie sesji użytkownika. Gdy hakerowi uda się wykraść plik cookie sesji, może z łatwością ominąć uwierzytelnianie dwuskładnikowe. Atakujący znają wiele metod przejmowania kontroli, takich jak utrwalanie sesji, sniffing sesji, cross-site scripting, atak złośliwego oprogramowania itp. Evilginx jest jedną z popularnych platform używanych przez hakerów do przeprowadzania ataku typu man-in-the-middle. W tej metodzie haker wysyła do użytkownika łącze phishingowe, które przenosi go na stronę logowania proxy. Kiedy użytkownik loguje się na swoje konto za pomocą 2FA, Evilginx przechwytuje jego dane logowania wraz z kodem uwierzytelniającym. Od czasu OTPwygasa po użyciu, a także ważny przez określony czas, nie ma sensu przechwytywać kodu uwierzytelniającego. Haker ma jednak sesyjne pliki cookie użytkownika, za pomocą których może zalogować się na swoje konto i ominąć uwierzytelnianie dwuskładnikowe.
2] Generowanie duplikatu kodu
Jeśli korzystałeś z aplikacji Google Authenticator , wiesz, że generuje ona nowe kody po określonym czasie. Google Authenticator i inne aplikacje uwierzytelniające działają na określonym algorytmie. Generatory kodu losowego(Random) zazwyczaj zaczynają się od wartości początkowej, aby wygenerować pierwszą liczbę. Algorytm wykorzystuje następnie tę pierwszą wartość do wygenerowania pozostałych wartości kodu. Jeśli haker jest w stanie zrozumieć ten algorytm, może łatwo stworzyć duplikat kodu i zalogować się na konto użytkownika.
3] Brutalna siła
Brute Force to technika generowania wszystkich możliwych kombinacji haseł. Czas złamania hasła metodą brute force zależy od jego długości. Im dłuższe hasło, tym więcej czasu zajmuje jego złamanie. Ogólnie kody uwierzytelniające mają długość od 4 do 6 cyfr, hakerzy mogą spróbować brutalnej próby ominięcia 2FA. Ale dzisiaj wskaźnik powodzenia ataków brute force jest mniejszy. Dzieje się tak, ponieważ kod uwierzytelniający pozostaje ważny tylko przez krótki czas.
4] Inżynieria społeczna
Inżynieria społeczna to technika, w której atakujący próbuje oszukać umysł użytkownika i zmusza go do wprowadzenia swoich danych logowania na fałszywej stronie logowania. Bez względu na to, czy atakujący zna Twoją nazwę użytkownika i hasło, czy nie, może ominąć uwierzytelnianie dwuskładnikowe. Jak? Zobaczmy:
Rozważmy pierwszy przypadek, w którym atakujący zna Twoją nazwę użytkownika i hasło. Nie może zalogować się na twoje konto, ponieważ włączyłeś 2FA. Aby uzyskać kod, może wysłać ci wiadomość e-mail ze złośliwym linkiem, wywołując w tobie strach, że twoje konto może zostać zhakowane, jeśli nie podejmiesz natychmiastowych działań. Po kliknięciu tego linku zostaniesz przekierowany na stronę hakera, która naśladuje autentyczność oryginalnej strony internetowej. Gdy wpiszesz hasło, Twoje konto zostanie zhakowane.
Rozważmy teraz inny przypadek, w którym haker nie zna Twojej nazwy użytkownika i hasła. Ponownie(Again) , w tym przypadku, wysyła ci link do phishingu i kradnie twoją nazwę użytkownika i hasło wraz z kodem 2FA.
5] Autoryzacja OAuth
Integracja OAuth(OAuth) zapewnia użytkownikom możliwość logowania się na swoje konto za pomocą konta innej firmy. Jest to renomowana aplikacja internetowa, która wykorzystuje tokeny autoryzacyjne do potwierdzania tożsamości między użytkownikami a dostawcami usług. Możesz rozważyć OAuth jako alternatywny sposób logowania się na swoje konta.
Mechanizm OAuth(OAuth) działa w następujący sposób:
- Witryna A prosi Witrynę B(Site B) (np . Facebook ) o token uwierzytelniający.
- Witryna B(Site B) uważa, że żądanie jest generowane przez użytkownika i weryfikuje konto użytkownika.
- Witryna B(Site B) wysyła następnie kod wywołania zwrotnego i umożliwia atakującemu zalogowanie się.
W powyższych procesach widzieliśmy, że atakujący nie wymaga weryfikacji przez 2FA. Ale aby ten mechanizm omijania działał, haker powinien mieć nazwę użytkownika i hasło do konta użytkownika.
W ten sposób hakerzy mogą ominąć dwuskładnikowe uwierzytelnianie konta użytkownika.
Jak zapobiec omijaniu 2FA?
Hakerzy mogą rzeczywiście ominąć uwierzytelnianie dwuskładnikowe, ale w każdej metodzie potrzebują zgody użytkowników, którą uzyskują, oszukując ich. Bez oszukiwania użytkowników ominięcie 2FA nie jest możliwe. Dlatego(Hence) powinieneś zadbać o następujące punkty:
- Przed kliknięciem w jakikolwiek link sprawdź jego autentyczność. Możesz to zrobić, sprawdzając adres e-mail nadawcy.
- Utwórz silne hasło(Create a strong password) zawierające kombinację liter, cyfr i znaków specjalnych.
- Używaj(Use) tylko oryginalnych aplikacji uwierzytelniających, takich jak Google Authenticator, Microsoft Authenticator itp.
- Pobierz(Download) i zapisz kody zapasowe w bezpiecznym miejscu.
- Nigdy nie ufaj wiadomościom phishingowym, których hakerzy używają do oszukiwania umysłów użytkowników.
- Nie udostępniaj nikomu kodów bezpieczeństwa.
- Skonfiguruj(Setup) klucz bezpieczeństwa na swoim koncie, alternatywę dla 2FA.
- Regularnie zmieniaj hasło.
Przeczytaj(Read) : Wskazówki, jak trzymać hakerów z dala od komputera z systemem Windows(Tips to Keep Hackers out of your Windows computer) .
Wniosek
Uwierzytelnianie dwuskładnikowe to skuteczna warstwa bezpieczeństwa, która chroni Twoje konto przed przejęciem. Hakerzy zawsze chcą mieć szansę na ominięcie 2FA. Jeśli znasz różne mechanizmy hakerskie i regularnie zmieniasz hasło, możesz lepiej chronić swoje konto.
Related posts
Jak włączyć uwierzytelnianie dwuskładnikowe w Discord
Jak prawidłowo skonfigurować opcje odzyskiwania i tworzenia kopii zapasowych dla uwierzytelniania dwuskładnikowego
Jak zainstalować Drupala za pomocą WAMP w systemie Windows
Najlepsze oprogramowanie i sprzęt Portfele Bitcoin dla Windows, iOS, Android
Skonfiguruj darmową internetową stację radiową na komputerze z systemem Windows
Darmowe oprogramowanie do zarządzania zadaniami do zarządzania pracą zespołową
Zablokowany dostęp do Plex Server i ustawień serwera? Oto poprawka!
Jak zamknąć konto Payoneer?
NASA's Eyes pomaga odkrywać Wszechświat niczym astronauci
Co to jest syndrom głupiego okna - wyjaśnienie i zapobieganie
Aplikacja do przesyłania wiadomości sesyjnych zapewnia silne zabezpieczenia; Numer telefonu nie jest wymagany!
Czym jest Wyzwanie Niebieski Wieloryb Dare Game
Co to są wirtualne karty kredytowe oraz jak i gdzie je zdobyć?
Najlepsze plecaki na laptopa dla mężczyzn i kobiet
Microsoft Identity Manager: funkcje, pobieranie
Jak zainstalować Windows 95 na Windows 10?
Organizator SMS: Aplikacja SMS oparta na uczeniu maszynowym
Co to jest link Magnet i jak otwierać linki Magnet w przeglądarce
Najlepsze stoły do laptopów do kupienia online
Automate.io to bezpłatne narzędzie do automatyzacji i alternatywa dla IFTTT