LixojValera
Новорег
- Сообщения
- 3
- Реакции
- 0
- Баллы
- 4
Приветствую всех, друзья!!!
В этой статье мы подробно поговорим о плюсах и минусах самого популярного метода защиты данных — двухфакторной аутентификации. А так же вы узнаете 6 способов, как можно обойти ее.
Новейшие методы безопасности учётных записей включают двухфакторную аутентификацию (2FA). Ее используют везде: как в корпоративных, так и в личных аккаунтах во всем мире. Под ней понимается доставка на устройство специального кода, который нужно ввести после ввода пароля от учётной записи. Но это не все формы 2FA, которые мы обсудим в этой статье.
Двухфакторная аутентификация дает возможность дополнительно защитить аккаунт от взлома. Но даже это не обеспечит 100% гарантии того, что мошенники не найдут способ её обойти. Для этого мы разберемся в способах обхода, чтобы обезопасить свои данные.
Данный метод проверки является самым популярным, потому что практически у всех людей есть мобильные телефоны с возможностью обмениваться SMS, а дополнительных приложений устанавливать не нужно. Проблемы с 2FA по СМС возникают только при потере сигнала сети или при наличии проблем с работоспособностью телефона.
В этом случае необходимо подключение к Интернету. Это не лучший метод, ведь такое письмо часто попадает в Спам, поэтому для авторизации требуется больше времени.
Также злоумышленники очень просто и быстро взламывают учётную запись с аутентификацией по электронной почте, если у них уже есть доступ к этой самой почте.
Преимущество метода — легко внедрить и использовать. Пользователю не нужно ждать письма, он сразу получает пароль для подтверждения. Этот способ надёжнее, чем 2FA по СМС, потому что код нельзя подсмотреть на экране блокировки или связанном по Bluetooth фитнес-браслете.
Здесь не нужно подключение к интернету. Это один из самых простых и безопасных методов 2FA. Но выпуск и обслуживание подобных устройств для каждого пользователя может быть дорогостоящим для бизнеса. Кроме этого, всегда есть риск потерять ключ.
В другом случае злоумышленник выдает себя за пользователя и говорит, что его учётная запись заблокирована, или есть какие-то неполадки с приложением-аутентификатором. Если повезет, то ему предоставят одноразовый доступ к учётной записи и сможет сбросить и поменять пароль.
Есть метод «фишинг согласия», который позволяет преступнику обходить ввод учетных данных и любую двухфакторную аутентификацию. Например, злоумышленник притворяется законным приложением с авторизацией OAuth и отправляет жертве сообщение с просьбой предоставить доступ. Если жертва даст такой доступ, злоумышленник получит доступ к аккаунту.
Но серьезное препятствие для хакеров — ограниченность времени действия одноразового кода (30/60 секунд). Таким образом, у злоумышленников есть ограниченное количество кодов, которые можно успеть перебрать, прежде чем они изменятся. Но если двухфакторная аутентификация настроена корректно, то атака такого типа будет в принципе невозможна — пользователя заблокирует после нескольких неверно введённых OTP-кодов.
В таких кодах есть польза, например, если устройство потеряно. Но если такой документ или хотя бы один резервный код попадёт в руки преступнику, тот очень просто получит доступ к учётной записи.
Браузер хранит специальный cookie-файл сессии, так что пользователю не нужно каждый раз вводить пароль от учетной записи. Он содержит информацию о пользователе, поддерживает его аутентификацию в системе и отслеживает активность сеанса. Cookie-файлы сеанса остаются в браузере до тех пор, пока пользователь не выйдет из системы вручную. Таким образом, преступник может использовать cookie для доступа к аккаунту пользователя.
Киберпреступникам известно множество методов захвата аккаунта, таких как перехват и фиксация сеанса, межсайтовый скриптинг и использование вредоносных программ. Этот метод наиболее популярен среди хакеров, потому что им воспользоваться проще всего.
В этом случае хакер может перехватывать одноразовые коды, отправленные через 2FA по СМС. Благодаря этому злоумышленник может взломать все учётные записи жертвы и заполучить полный доступ над необходимыми данными.
Двухфакторная аутентификация не идеальна и имеет свои недостатки. Но она остается одним из лучших способов защиты учётных записей. Следуйте рекомендациям, чтобы максимально обезопасить свои учетные записи.
В этой статье мы подробно поговорим о плюсах и минусах самого популярного метода защиты данных — двухфакторной аутентификации. А так же вы узнаете 6 способов, как можно обойти ее.
Новейшие методы безопасности учётных записей включают двухфакторную аутентификацию (2FA). Ее используют везде: как в корпоративных, так и в личных аккаунтах во всем мире. Под ней понимается доставка на устройство специального кода, который нужно ввести после ввода пароля от учётной записи. Но это не все формы 2FA, которые мы обсудим в этой статье.
Двухфакторная аутентификация дает возможность дополнительно защитить аккаунт от взлома. Но даже это не обеспечит 100% гарантии того, что мошенники не найдут способ её обойти. Для этого мы разберемся в способах обхода, чтобы обезопасить свои данные.
Двухфакторная аутентификация может быть в виде абсолютно разных способов подтверждения владения аккаунтом. Выбор зависит от системы или предпочтений пользователя. Бывает так, что для определённого аккаунта необходим самый высокий уровень защиты. В этом случае лучше использовать «многофакторную аутентификацию» (MFA), которая включает в себя несколько факторов проверки. Например, пароль + физический токен + биометрия. И этот способ защиты учётной записи гораздо надёжнее классической двухфакторной аутентификации.
Типы двухфакторной аутентификации
Некоторые сервисы и приложения позволяют выбирать, какой тип проверки в дополнении к паролю использовать, а некоторые — нет. Дальше мы разберем все методы проверки:2FA по СМС
Для этого метода аутентификации необходимо, чтобы пользователь указал свой номер телефона при первой настройке профиля. Затем при каждом входе в систему, нужно вводить одноразовый код подтверждения (One-Time Password, OTP), состоящий чаще всего из четырех или шести цифр.Данный метод проверки является самым популярным, потому что практически у всех людей есть мобильные телефоны с возможностью обмениваться SMS, а дополнительных приложений устанавливать не нужно. Проблемы с 2FA по СМС возникают только при потере сигнала сети или при наличии проблем с работоспособностью телефона.
2FA через голосовой вызов
Этот метод аутентификации подразумевает дозвон на телефон пользователя. В некоторых сервисах самого звонка достаточно для авторизации, и вход происходит автоматически. В других — необходимо ответить на звонок, прослушать код и затем указать его.2FA по электронной почте
Метод похож на 2FA по СМС, но одноразовый код подтверждения приходит в виде электронного письма на почту. Одним из вариантов аутентификации по электронной почте — переход по уникальной ссылке, который и предоставляет доступ к учётной записи.В этом случае необходимо подключение к Интернету. Это не лучший метод, ведь такое письмо часто попадает в Спам, поэтому для авторизации требуется больше времени.
Также злоумышленники очень просто и быстро взламывают учётную запись с аутентификацией по электронной почте, если у них уже есть доступ к этой самой почте.
2FA через TOTP-приложения
Данные приложения генерируют временный одноразовый код длиной от шести до восьми цифр, который обновляется каждые 30 секунд. После ввода кода, пользователь получает доступ к аккаунту.
Преимущество метода — легко внедрить и использовать. Пользователю не нужно ждать письма, он сразу получает пароль для подтверждения. Этот способ надёжнее, чем 2FA по СМС, потому что код нельзя подсмотреть на экране блокировки или связанном по Bluetooth фитнес-браслете.
2FA через аппаратный ключ
В этом методе используются для авторизации физические устройства. Например, USB-флешка, вставленная в компьютер, NFC-карта или TOTP-брелок, который генерирует код для авторизации каждые 30/60 секунд.Здесь не нужно подключение к интернету. Это один из самых простых и безопасных методов 2FA. Но выпуск и обслуживание подобных устройств для каждого пользователя может быть дорогостоящим для бизнеса. Кроме этого, всегда есть риск потерять ключ.
6 способов обойти двухфакторную аутентификацию
Несомненно, у данных методов есть и недостатки, которые мошенники используют для взлома. Дальше мы опишем способы, как именно хакеры могут обойти двухфакторную аутентификацию.1. Обход 2FA с помощью социальной инженерии
В этом случае мошенник обманом заставляет жертву неосознанно предоставить важную информацию о секретном коде. Уже имея на руках логин и пароль для входа, мошенник звонит или отправляет сообщение, убеждая жертву передать 2FA-код.В другом случае злоумышленник выдает себя за пользователя и говорит, что его учётная запись заблокирована, или есть какие-то неполадки с приложением-аутентификатором. Если повезет, то ему предоставят одноразовый доступ к учётной записи и сможет сбросить и поменять пароль.
2. Обход 2FA с помощью открытой авторизации (OAuth)
Например, для входа в приложение нужно дать разрешение на частичный доступ к учётной записи VK или Facebook. Именно так выбранное приложение получает часть полномочий аккаунта, но не хранит логин и пароль от аккаунта.
Есть метод «фишинг согласия», который позволяет преступнику обходить ввод учетных данных и любую двухфакторную аутентификацию. Например, злоумышленник притворяется законным приложением с авторизацией OAuth и отправляет жертве сообщение с просьбой предоставить доступ. Если жертва даст такой доступ, злоумышленник получит доступ к аккаунту.
3. Обход 2FA с помощью Brute-Force
В этом случе злоумышленники пользуются перебором паролей. Такой метод успешен только в случае устаревших систем. Например, некоторые старые TOTP-брелоки имеют длину кода всего в четыре цифры. А чем меньше код, тем легче его взломать.Но серьезное препятствие для хакеров — ограниченность времени действия одноразового кода (30/60 секунд). Таким образом, у злоумышленников есть ограниченное количество кодов, которые можно успеть перебрать, прежде чем они изменятся. Но если двухфакторная аутентификация настроена корректно, то атака такого типа будет в принципе невозможна — пользователя заблокирует после нескольких неверно введённых OTP-кодов.
4. Обход 2FA сгенерированными ранее токенами
Есть платформы, которые дают пользователям заранее генерировать 2FA-коды. Например, в настройках безопасности Google-аккаунта можно скачать документ с резервными кодами, которые действуют долгое время. Их можно использовать в будущем для обхода 2FA.В таких кодах есть польза, например, если устройство потеряно. Но если такой документ или хотя бы один резервный код попадёт в руки преступнику, тот очень просто получит доступ к учётной записи.
5. Обход 2FA с помощью Cookie-файлов сеанса
Кража cookie-файлов или захват сеанса дает возможность хакерам получить доступ к аккаунту, не имея никаких паролей или 2FA-кодов.Браузер хранит специальный cookie-файл сессии, так что пользователю не нужно каждый раз вводить пароль от учетной записи. Он содержит информацию о пользователе, поддерживает его аутентификацию в системе и отслеживает активность сеанса. Cookie-файлы сеанса остаются в браузере до тех пор, пока пользователь не выйдет из системы вручную. Таким образом, преступник может использовать cookie для доступа к аккаунту пользователя.
Киберпреступникам известно множество методов захвата аккаунта, таких как перехват и фиксация сеанса, межсайтовый скриптинг и использование вредоносных программ. Этот метод наиболее популярен среди хакеров, потому что им воспользоваться проще всего.
6. Обход 2FA с SIM-jacking
Это тип атаки, при котором злоумышленник получает полный контроль над телефонным номером жертвы. Например, мошенники могут получить ряд базовых данных о пользователе, а затем выдать себя за пользователя в салоне оператора мобильной связи, чтобы выпустить новую SIM-карту. Кроме этого, атака SIM-jacking возможна и через вредоносные ПО, установленные на смартфон жертвы.В этом случае хакер может перехватывать одноразовые коды, отправленные через 2FA по СМС. Благодаря этому злоумышленник может взломать все учётные записи жертвы и заполучить полный доступ над необходимыми данными.
Как сделать 2FA ещё безопаснее?
Двухфакторная аутентификация — самый рекомендуемый способом защиты учётных записей в Интернете. Ниже вы найдете несколько советов, чтобы использовать 2FA максимально эффективно:- Использовать приложения-аутентификаторы вместо аутентификации по СМС — приложения в разы безопаснее
- Никому ни при каких обстоятельствах не сообщайте одноразовые или резервные коды безопасности
- Пользуйтесь длинными кодами безопасности (более 6 символов), если возможно
- Используйте сложные пароли для защиты аккаунта, лучше сгенерировать пароль в генераторе и использовать его в связке с менеджером паролей
- Помните: одна учетная запись — один пароль
- Используйте физические ключи безопасности как альтернативу
- Узнайте все методы социальной инженерии, чтобы не стать жертвой обмана
Двухфакторная аутентификация не идеальна и имеет свои недостатки. Но она остается одним из лучших способов защиты учётных записей. Следуйте рекомендациям, чтобы максимально обезопасить свои учетные записи.
