Може да си мислите, че активирането на двуфакторна автентификация във вашия акаунт го прави 100% сигурен. Двуфакторното удостоверяване^{(Two-factor authentication)} е сред най-добрите методи за защита на вашия акаунт. Но може да се изненадате да чуете, че акаунтът ви може да бъде отвлечен, въпреки че активирате двуфакторно удостоверяване. В тази статия ще ви разкажем за различните начини, по които нападателите могат да заобиколят двуфакторната автентификация.

Какво е двуфакторна автентификация^{(Authentication)} (2FA)?

Преди да започнем, нека видим какво е 2FA. Знаете, че трябва да въведете парола, за да влезете в акаунта си. Без правилната парола не можете да влезете. 2FA е процесът на добавяне на допълнителен защитен слой към вашия акаунт. След като го активирате, не можете да влезете в акаунта си, като въведете само паролата. Трябва да изпълните още една стъпка за сигурност. Това означава, че в 2FA уебсайтът проверява потребителя в две стъпки.

Прочетете^(Read) : Как да активирате проверката в 2 стъпки в акаунта на Microsoft^{(How to Enable 2-step Verification in Microsoft Account)} .

Как работи 2FA?

Нека разберем принципа на работа на двуфакторната автентификация. 2FA изисква да се потвърдите два пъти. Когато въведете вашето потребителско име и парола, ще бъдете пренасочени към друга страница, където трябва да предоставите второ доказателство, че вие ​​сте истинският човек, който се опитва да влезе. Уебсайтът може да използва всеки от следните методи за проверка:

OTP (еднократна парола)

След като въведете паролата, уебсайтът ви казва да се потвърдите, като въведете OTP , изпратен на вашия регистриран мобилен номер. След като въведете правилния OTP , можете да влезете в акаунта си.

Бързо известие

Бързо известие се показва на вашия смартфон, ако е свързан към интернет. Трябва да се потвърдите, като докоснете бутона „ Да^(Yes) “. След това ще влезете в акаунта си на вашия компютър.

Резервни кодове

Резервните^(Backup) кодове са полезни, когато горните два метода за проверка няма да работят. Можете да влезете в акаунта си, като въведете някой от резервните кодове, които сте изтеглили от акаунта си.

Приложение за удостоверяване

При този метод трябва да свържете акаунта си с приложение за удостоверяване. Всеки път, когато искате да влезете в акаунта си, трябва да въведете кода, показан в приложението за удостоверяване, инсталирано на вашия смартфон.

Има още няколко метода за проверка, които уебсайтът може да използва.

Прочетете^(Read) : Как да добавите проверка в две стъпки към вашия акаунт в Google^{(How To Add Two-step Verification To Your Google Account)} .

Как хакерите могат да заобиколят двуфакторната автентификация^{(Two-factor Authentication)}

Без съмнение 2FA прави вашия акаунт по-сигурен. Но все още има много начини, по които хакерите могат да заобиколят този защитен слой.

1] Кражба на бисквитки^{(Cookie Stealing)} или отвличане на сесия^{(Session Hijacking)}

Кражбата на бисквитки или отвличането на сесия^{(Cookie stealing or session hijacking)} е методът за кражба на бисквитката на сесията на потребителя. След като хакерът успее да открадне бисквитката на сесията, той може лесно да заобиколи двуфакторната автентификация. Нападателите познават много методи за отвличане, като фиксиране на сесия, подслушване на сесия, скриптове между сайтове, атака на злонамерен софтуер и т.н. Evilginx е сред популярните рамки, които хакерите използват за извършване на атака „човек в средата“. При този метод хакерът изпраща фишинг връзка на потребителя, която го отвежда до прокси страница за вход. Когато потребителят влезе в акаунта си с помощта на 2FA, Evilginx улавя неговите идентификационни данни за вход заедно с кода за удостоверяване. Тъй като ОТП^(OTP)изтича след използването му и също така е валиден за определен период от време, няма полза от улавянето на кода за удостоверяване. Но хакерът има бисквитки за сесия на потребителя, които може да използва, за да влезе в акаунта си и да заобиколи двуфакторната автентификация.

2] Генериране на дублиран код

Ако сте използвали приложението Google Authenticator , знаете, че то генерира нови кодове след определено време. Google Authenticator и други приложения за удостоверяване работят по определен алгоритъм. Генераторите на произволен^(Random) код обикновено започват с начална стойност, за да генерират първото число. След това алгоритъмът използва тази първа стойност, за да генерира останалите стойности на кода. Ако хакерът е в състояние да разбере този алгоритъм, той може лесно да създаде дублиран код и да влезе в акаунта на потребителя.

3] Груба сила

Brute Force е техника за генериране на всички възможни комбинации от пароли. Времето за разбиване на парола с груба сила зависи от нейната дължина. Колкото по-дълга е паролата, толкова повече време отнема разбиването й. Обикновено кодовете за удостоверяване са с дължина от 4 до 6 цифри, хакерите могат да опитат груба сила да заобиколят 2FA. Но днес успеваемостта на атаките с груба сила е по-малка. Това е така, защото кодът за удостоверяване остава валиден само за кратък период от време.

4] Социално инженерство

Социалното инженерство е техниката, при която нападателят се опитва да измами ума на потребителя и го принуждава да въведе своите идентификационни данни за вход на фалшива страница за вход. Без значение дали нападателят знае вашето потребителско име и парола или не, той може да заобиколи двуфакторното удостоверяване. Как? Да видим:

Нека разгледаме първия случай, в който нападателят знае вашето потребителско име и парола. Той не може да влезе във вашия акаунт, защото сте активирали 2FA. За да получи кода, той може да ви изпрати имейл със злонамерена връзка, създавайки страх у вас, че акаунтът ви може да бъде хакнат, ако не предприемете незабавни действия. Когато щракнете върху тази връзка, ще бъдете пренасочени към страницата на хакера, която имитира автентичността на оригиналната уеб страница. След като въведете паролата, акаунтът ви ще бъде хакнат.

Сега да вземем друг случай, в който хакерът не знае вашето потребителско име и парола. Отново^(Again) в този случай той ви изпраща фишинг връзка и краде вашето потребителско име и парола заедно с 2FA кода.

5] OAuth

Интеграцията на OAuth^(OAuth) предоставя на потребителите възможност да влязат в акаунта си, използвайки акаунт на трета страна. Това е известно уеб приложение, което използва токени за оторизация, за да докаже самоличността между потребителите и доставчиците на услуги. Можете да разгледате OAuth като алтернативен начин за влизане в акаунтите си.

OAuth механизъм^(OAuth) работи по следния начин:

1. Сайт А иска от Сайт Б^{(Site B)} (напр . Facebook ) токен за удостоверяване.
2. Сайт Б^{(Site B)} счита, че заявката е генерирана от потребителя и проверява акаунта на потребителя.
3. След това сайт Б^{(Site B)} изпраща код за обратно повикване и позволява на нападателя да влезе.

В горните процеси видяхме, че нападателят не изисква да се верифицира чрез 2FA. Но за да работи този механизъм за байпас, хакерът трябва да има потребителско име и парола на акаунта на потребителя.

Ето как хакерите могат да заобиколят двуфакторното удостоверяване на потребителския акаунт.

Как да предотвратим заобикалянето на 2FA?

Хакерите наистина могат да заобиколят двуфакторната автентификация, но при всеки метод те се нуждаят от съгласието на потребителите, което получават, като ги измамят. Без измама на потребителите, заобикалянето на 2FA не е възможно. Следователно^(Hence) , трябва да се погрижите за следните точки:

• Преди да кликнете върху която и да е връзка, моля, проверете нейната автентичност. Можете да направите това, като проверите имейл адреса на подателя.
• Създайте силна парола^{(Create a strong password)} , която съдържа комбинация от азбуки, цифри и специални знаци.
• Използвайте^(Use) само оригинални приложения за удостоверяване, като Google authenticator, Microsoft authenticator и др.
• Изтеглете^(Download) и запазете резервните кодове на сигурно място.
• Никога не се доверявайте на фишинг имейли, които хакерите използват, за да измамят умовете на потребителите.
• Не споделяйте кодове за сигурност с никого.
• Настройте^(Setup) ключа за сигурност на вашия акаунт, алтернатива на 2FA.
• Продължавайте да променяте паролата си редовно.

Прочетете^(Read) : Съвети как да държите хакерите извън вашия компютър с Windows^{(Tips to Keep Hackers out of your Windows computer)} .

Заключение

Двуфакторното удостоверяване е ефективен защитен слой, който защитава вашия акаунт от отвличане. Хакерите винаги искат да получат шанс да заобиколят 2FA. Ако сте наясно с различни механизми за хакване и редовно променяте паролата си, можете да защитите акаунта си по-добре.

How Hackers can get around Two-factor Authentication

Yoυ maу think that enabling two-factor authentication on your account makes it 100% sеcure. Two-factor authentication is among the best methods to protect your account. But you may be surprised to hear that your account can be hijacked despite enabling two-factor authentication. In this article, we will tell you the different ways by which attackers can bypass two-factor authentication.

What is Two-factor Authentication (2FA)?

Before we begin, let’s see what 2FA is. You know that you have to enter a password to log into your account. Without the correct password, you cannot log in. 2FA is the process of adding an extra security layer to your account. After enabling it, you cannot log into your account by entering the password only. You have to complete one more security step. This means in 2FA, the website verifies the user in two steps.

Read: How to Enable 2-step Verification in Microsoft Account.

How Does 2FA Work?

Let’s understand the working principle of two-factor authentication. The 2FA requires you to verify yourself two times. When you enter your username and password, you will be redirected to another page, where you have to provide a second proof that you are the real person trying to log in. A website can use any of the following verification methods:

OTP (One Time Password)

After entering the password, the website tells you to verify yourself by entering the OTP sent on your registered mobile number. After entering the correct OTP, you can log into your account.

Prompt Notification

Prompt notification is displayed on your smartphone if it is connected to the internet. You have to verify yourself by tapping on the “Yes” button. After that, you will be logged into your account on your PC.

Backup Codes

Backup codes are useful when the above two methods of verification won’t work. You can log into your account by entering any one of the backup codes you have downloaded from your account.

Authenticator App

In this method, you have to connect your account with an authenticator app. Whenever you want to log into your account, you have to enter the code displayed on the authenticator app installed on your smartphone.

There are several more methods of verification that a website can use.

Read: How To Add Two-step Verification To Your Google Account.

How Hackers can get around Two-factor Authentication

Undoubtedly, 2FA makes your account more secure. But there are still many ways by which hackers can bypass this security layer.

1] Cookie Stealing or Session Hijacking

Cookie stealing or session hijacking is the method of stealing the session cookie of the user. Once the hacker gets success in stealing the session cookie, he can easily bypass the two-factor authentication. Attackers know many methods of hijacking, like session fixation, session sniffing, cross-site scripting, malware attack, etc. Evilginx is among the popular frameworks that hackers use to perform a man-in-the-middle attack. In this method, the hacker sends a phishing link to the user that takes him to a proxy login page. When the user logs into his account using 2FA, Evilginx captures his login credentials along with the authentication code. Since the OTP expires after using it and also valid for a particular time frame, there is no use in capturing the authentication code. But the hacker has the user’s session cookies, which he can use to log into his account and bypass the two-factor authentication.

2] Duplicate Code Generation

If you have used the Google Authenticator app, you know that it generates new codes after a particular time. Google Authenticator and other authenticator apps work on a particular algorithm. Random code generators generally start with a seed value to generate the first number. The algorithm then uses this first value to generate the remaining code values. If the hacker is able to understand this algorithm, he can easily create a duplicate code and log into the user’s account.

3] Brute Force

Brute Force is a technique to generate all the possible password combinations. The time for cracking a password using brute force depends on its length. The longer the password is, the more time it takes to crack it. Generally, the authentication codes are from 4 to 6 digits long, hackers can try a brute force attempt to bypass the 2FA. But today, the success rate of brute force attacks is less. This is because the authentication code remains valid only for a short period.

4] Social Engineering

Social Engineering is the technique in which an attacker tries to trick the user’s mind and forces him to enter his login credentials on a fake login page. No matter whether the attacker knows your username and password or not, he can bypass the two-factor authentication. How? Let’s see:

Let’s consider the first case in which the attacker knows your username and password. He cannot log into your account because you have enabled 2FA. To get the code, he can send you an email with a malicious link, creating a fear in you that your account can be hacked if you do not take immediate action. When you click on that link, you will be redirected to the hacker’s page that mimics the authenticity of the original webpage. Once you enter the passcode, your account will be hacked.

Now, let’s take another case in which the hacker does not know your username and password. Again, in this case, he sends you a phishing link and steals your username and password along with the 2FA code.

5] OAuth

OAuth integration provides users with a facility to log into their account using a third-party account. It is a reputed web application that uses authorization tokens to prove identity between the users and service providers. You can consider OAuth an alternate way to log into your accounts.

An OAuth mechanism works in the following way:

1. Site A requests Site B (e.g. Facebook) for an authentication token.
2. Site B considers that the request is generated by the user and verifies the user’s account.
3. Site B then sends a callback code and lets the attacker sign in.

In the above processes, we have seen that the attacker does not require to verify himself via 2FA. But for this bypass mechanism to work, the hacker should have the user’s account username and password.

This is how hackers can bypass the two-factor authentication of a user’s account.

How to prevent 2FA bypassing?

Hackers can indeed bypass the two-factor authentication, but in each method, they need the users’ consent which they get by tricking them. Without tricking the users, bypassing 2FA is not possible. Hence, you should take care of the following points:

• Before clicking on any link, please check its authenticity. You can do this by checking the sender’s email address.
• Create a strong password that contains a combination of alphabets, numbers, and special characters.
• Use only genuine authenticator apps, like Google authenticator, Microsoft authenticator, etc.
• Download and save the backup codes at a safe place.
• Never trust phishing emails that hackers use to trick the users’ minds.
• Do not share security codes with anyone.
• Setup security key on your account, an alternative to 2FA.
• Keep changing your password regularly.

Read: Tips to Keep Hackers out of your Windows computer.

Conclusion

Two-factor authentication is an effective security layer that protects your account from hijacking. Hackers always want to get a chance to bypass 2FA. If you are aware of different hacking mechanisms and change your password regularly, you can protect your account better.

Related posts

• Как да активирате двуфакторна автентификация в Discord

• Как правилно да настроите опциите за възстановяване и архивиране за двуфакторна автентификация

• Как да инсталирате Drupal с помощта на WAMP на Windows

• Най-добрият софтуер и хардуер Bitcoin портфейли за Windows, iOS, Android

• Настройте безплатно интернет радиостанция на компютър с Windows

• Разлика между аналогови, цифрови и хибридни компютри

• Какво е магнитна връзка и как да отварям магнитни връзки в браузър

• Най-добрите раници за лаптоп за мъже и жени

• Полето за коментари на Disqus не се зарежда или показва за уебсайт

• Най-добрите маси за лаптопи за закупуване онлайн

• Този акаунт не е свързан с нито един акаунт в Mixer

• Какво представляват „чип и ПИН“ или EMV кредитни карти

• Как да защитите с парола и да защитите pdf документи с LibreOffice

• Какво означава NFT и как да създадем NFT цифрово изкуство?

• Как да инсталирате Windows 95 на Windows 10

• Съвети за пазаруване за Кибер понеделник и Черен петък, които искате да следвате

• Очите на НАСА ви помагат да изследвате Вселената като астронавти

• Как да използвате шаблон за създаване на документ с LibreOffice

• SMS Organizer: SMS приложение, захранвано от машинно обучение

• 10 най-добри USB LED лампи за лаптопи