Azt gondolhatja, hogy a kétfaktoros hitelesítés engedélyezése fiókjában 100%-os biztonságot nyújt. A kéttényezős hitelesítés^{(Two-factor authentication)} az egyik legjobb módszer a fiók védelmére. De meglepődhet, ha azt hallja, hogy fiókját a kéttényezős hitelesítés engedélyezése ellenére is feltörhetik. Ebben a cikkben bemutatjuk azokat a különböző módokat, amelyekkel a támadók megkerülhetik a kéttényezős hitelesítést.

Mi az a kéttényezős hitelesítés^{(Authentication)} (2FA)?

Mielőtt elkezdenénk, nézzük meg, mi az a 2FA. Tudja, hogy a fiókjába való bejelentkezéshez jelszót kell megadnia. A megfelelő jelszó nélkül nem tud bejelentkezni. A 2FA egy további biztonsági réteg hozzáadásának folyamata a fiókjához. Engedélyezése után nem tud bejelentkezni a fiókjába a jelszó megadásával. Még egy biztonsági lépést kell végrehajtania. Ez azt jelenti, hogy a 2FA-ban a webhely két lépésben ellenőrzi a felhasználót.

Olvassa el^(Read) : A kétlépcsős azonosítás engedélyezése a Microsoft-fiókban^{(How to Enable 2-step Verification in Microsoft Account)} .

Hogyan működik a 2FA?

Ismerjük meg a kéttényezős hitelesítés működési elvét. A 2FA megköveteli, hogy kétszer igazolja magát. Amikor megadja felhasználónevét és jelszavát, átirányítunk egy másik oldalra, ahol egy második igazolást kell benyújtania arról, hogy Ön a valódi személy, aki megpróbál bejelentkezni. Egy webhely a következő ellenőrzési módszerek bármelyikét használhatja:

OTP (egyszeri jelszó)

A jelszó megadása után a weboldal felszólítja, hogy igazolja magát a regisztrált mobilszámára küldött OTP megadásával. ^(OTP)A megfelelő OTP megadása után bejelentkezhet fiókjába.

Gyors értesítés

Az okostelefonon azonnali értesítés jelenik meg, ha csatlakozik az internethez. Az „ Igen^(Yes) ” gomb megérintésével igazolnia kell magát . Ezt követően bejelentkezik a fiókjába a számítógépén.

Biztonsági kódok

A biztonsági^(Backup) kódok akkor hasznosak, ha a fenti két ellenőrzési módszer nem működik. Fiókjába a fiókjából letöltött biztonsági kódok bármelyikének megadásával jelentkezhet be.

Authenticator App

Ezzel a módszerrel összekapcsolnia kell fiókját egy hitelesítő alkalmazással. Amikor be szeretne jelentkezni fiókjába, meg kell adnia az okostelefonjára telepített hitelesítő alkalmazásban megjelenő kódot.

Számos további ellenőrzési módszer is használható egy webhelyen.

Olvassa el^(Read) : A kétlépcsős azonosítás hozzáadása Google-fiókjához^{(How To Add Two-step Verification To Your Google Account)} .

Hogyan kerülhetik meg a hackerek a kéttényezős hitelesítést ?^{(Two-factor Authentication)}

Kétségtelen, hogy a 2FA biztonságosabbá teszi fiókját. A hackerek azonban még mindig számos módon megkerülhetik ezt a biztonsági réteget.

1] Cookie-lopás^{(Cookie Stealing)} vagy munkamenet-eltérítés^{(Session Hijacking)}

A cookie-lopás vagy munkamenet-eltérítés^{(Cookie stealing or session hijacking)} a felhasználó munkamenet-cookie-jának ellopásának módja. Ha a hacker sikeresen ellopja a munkamenet-sütit, könnyen megkerülheti a kéttényezős hitelesítést. A támadók számos eltérítési módszert ismernek, mint például a munkamenetrögzítés, a munkamenet-szippelés, a webhelyek közötti szkriptelés, a rosszindulatú programok támadása stb. Az Evilginx^(Evilginx) azon népszerű keretrendszerek közé tartozik, amelyeket a hackerek a köztes támadás végrehajtására használnak. Ennél a módszernél a hacker egy adathalász hivatkozást küld a felhasználónak, amely a proxy bejelentkezési oldalára viszi. Amikor a felhasználó bejelentkezik a fiókjába a 2FA használatával, az Evilginx rögzíti a bejelentkezési adatait a hitelesítési kóddal együtt. Mivel az OTPhasználata után lejár, és egy adott időtartamra is érvényes, nincs értelme a hitelesítési kód rögzítésének. De a hacker rendelkezik a felhasználó munkamenet-cookie-ival, amelyek segítségével bejelentkezhet a fiókjába, és megkerülheti a kéttényezős hitelesítést.

2] Duplicate Code Generation

Ha használta a Google Hitelesítő^{(Google Authenticator)} alkalmazást, akkor tudja, hogy az adott idő után új kódokat generál. A Google Authenticator^{(Google Authenticator)} és más hitelesítő alkalmazások egy adott algoritmuson működnek. A véletlenszerű^(Random) kódgenerátorok általában egy kezdőértékkel kezdik az első számot. Az algoritmus ezután ezt az első értéket használja a fennmaradó kódértékek generálásához. Ha a hacker képes megérteni ezt az algoritmust, könnyen létrehozhat egy duplikált kódot, és bejelentkezhet a felhasználói fiókba.

3] Brute Force

A Brute Force^{(Brute Force)} az összes lehetséges jelszókombináció létrehozására szolgáló technika. A jelszó nyers erővel történő feltörésének ideje a jelszó hosszától függ. Minél hosszabb a jelszó, annál több időbe telik feltörni. Általában a hitelesítési kódok 4-6 számjegy hosszúak, a hackerek megpróbálhatnak brutális erővel megkerülni a 2FA-t. De manapság a nyers erőszakos támadások sikerességi aránya kisebb. Ennek az az oka, hogy a hitelesítési kód csak rövid ideig marad érvényben.

4] Social Engineering

A Social Engineering az a technika, amellyel a támadó megpróbálja becsapni a felhasználó elméjét, és arra kényszeríti, hogy egy hamis bejelentkezési oldalon adja meg bejelentkezési adatait. Nem számít, hogy a támadó ismeri-e felhasználónevét és jelszavát vagy sem, megkerülheti a kéttényezős hitelesítést. Hogyan? Lássuk:

Tekintsük az első esetet, amikor a támadó ismeri felhasználónevét és jelszavát. Nem tud bejelentkezni a fiókjába, mert engedélyezte a 2FA-t. A kód megszerzéséhez e-mailt küldhet egy rosszindulatú linkkel, ami félelmet kelt benned, hogy ha nem teszel azonnali lépéseket, feltörhetik a fiókodat. Amikor erre a hivatkozásra kattint, a rendszer átirányítja a hacker oldalára, amely az eredeti weboldal hitelességét utánozza. A jelszó megadása után fiókját feltörik.

Most vegyünk egy másik esetet, amikor a hacker nem tudja az Ön felhasználónevét és jelszavát. Ebben az esetben is küld egy adathalász linket, és ellopja felhasználónevét és jelszavát a 2FA kóddal együtt .^(Again)

5] OAuth

Az OAuth^(OAuth) integráció lehetővé teszi a felhasználók számára, hogy harmadik fél fiókjával jelentkezzenek be fiókjukba. Ez egy jó hírű webes alkalmazás, amely engedélyezési tokeneket használ a felhasználók és a szolgáltatók közötti azonosság bizonyítására. Az OAuth alternatív módja lehet a fiókjaiba való bejelentkezéshez.

Az OAuth mechanizmus a következő módon működik:

1. Az A webhely hitelesítési tokent kér a B webhelytől^{(Site B)} (pl . Facebook ).
2. A B webhely^{(Site B)} úgy véli, hogy a kérést a felhasználó generálja, és ellenőrzi a felhasználó fiókját.
3. A B webhely^{(Site B)} ezután visszahívási kódot küld, és lehetővé teszi a támadó számára, hogy bejelentkezzen.

A fenti folyamatok során azt láttuk, hogy a támadónak nem kell igazolnia magát a 2FA-n keresztül. De ahhoz, hogy ez a megkerülő mechanizmus működjön, a hackernek rendelkeznie kell a felhasználói fiók felhasználónevével és jelszavával.

A hackerek így megkerülhetik a felhasználói fiók kéttényezős hitelesítését.

Hogyan lehet megakadályozni a 2FA megkerülését?

A hackerek valóban megkerülhetik a kéttényezős hitelesítést, de mindegyik módszerhez szükségük van a felhasználók beleegyezésére, amelyet a becsapással kapnak meg. A felhasználók becsapása nélkül a 2FA megkerülése nem lehetséges. Ezért^(Hence) a következő pontokra kell ügyelnie:

• Mielőtt bármilyen hivatkozásra kattintana, ellenőrizze annak hitelességét. Ezt a feladó e-mail címének ellenőrzésével teheti meg.
• Hozzon létre egy erős jelszót^{(Create a strong password)} , amely ábécék, számok és speciális karakterek kombinációját tartalmazza.
• ^(Use)Csak eredeti hitelesítő alkalmazásokat használjon , például Google hitelesítőt, Microsoft hitelesítőt stb.
• Töltse^(Download) le és mentse el a biztonsági kódokat biztonságos helyen.
• Soha ne bízzon az adathalász e-mailekben, amelyekkel a hackerek megtévesztik a felhasználók elméjét.
• Ne ossza meg senkivel a biztonsági kódokat.
• Állítsa^(Setup) be fiókjában a biztonsági kulcsot, amely a 2FA alternatívája.
• Változtassa rendszeresen jelszavát.

Olvassa el^(Read) : Tippek a hackerek távoltartásához Windows rendszerű számítógépén^{(Tips to Keep Hackers out of your Windows computer)} .

Következtetés

A kéttényezős hitelesítés egy hatékony biztonsági réteg, amely megvédi fiókját a feltöréstől. A hackerek mindig lehetőséget akarnak kapni a 2FA megkerülésére. Ha ismeri a különböző feltörési mechanizmusokat, és rendszeresen megváltoztatja jelszavát, jobban megvédheti fiókját.

How Hackers can get around Two-factor Authentication

You may think that enаbling two-factor authentication on your account makes it 100% secure. Two-factor authentication is among the best methods to protect your account. But you may be surprised to hear that your account can be hijacked despite enabling two-factor authentication. In this article, we will tell you the different ways by which attackers can bypass two-factor authentication.

What is Two-factor Authentication (2FA)?

Before we begin, let’s see what 2FA is. You know that you have to enter a password to log into your account. Without the correct password, you cannot log in. 2FA is the process of adding an extra security layer to your account. After enabling it, you cannot log into your account by entering the password only. You have to complete one more security step. This means in 2FA, the website verifies the user in two steps.

Read: How to Enable 2-step Verification in Microsoft Account.

How Does 2FA Work?

Let’s understand the working principle of two-factor authentication. The 2FA requires you to verify yourself two times. When you enter your username and password, you will be redirected to another page, where you have to provide a second proof that you are the real person trying to log in. A website can use any of the following verification methods:

OTP (One Time Password)

After entering the password, the website tells you to verify yourself by entering the OTP sent on your registered mobile number. After entering the correct OTP, you can log into your account.

Prompt Notification

Prompt notification is displayed on your smartphone if it is connected to the internet. You have to verify yourself by tapping on the “Yes” button. After that, you will be logged into your account on your PC.

Backup Codes

Backup codes are useful when the above two methods of verification won’t work. You can log into your account by entering any one of the backup codes you have downloaded from your account.

Authenticator App

In this method, you have to connect your account with an authenticator app. Whenever you want to log into your account, you have to enter the code displayed on the authenticator app installed on your smartphone.

There are several more methods of verification that a website can use.

Read: How To Add Two-step Verification To Your Google Account.

How Hackers can get around Two-factor Authentication

Undoubtedly, 2FA makes your account more secure. But there are still many ways by which hackers can bypass this security layer.

1] Cookie Stealing or Session Hijacking

Cookie stealing or session hijacking is the method of stealing the session cookie of the user. Once the hacker gets success in stealing the session cookie, he can easily bypass the two-factor authentication. Attackers know many methods of hijacking, like session fixation, session sniffing, cross-site scripting, malware attack, etc. Evilginx is among the popular frameworks that hackers use to perform a man-in-the-middle attack. In this method, the hacker sends a phishing link to the user that takes him to a proxy login page. When the user logs into his account using 2FA, Evilginx captures his login credentials along with the authentication code. Since the OTP expires after using it and also valid for a particular time frame, there is no use in capturing the authentication code. But the hacker has the user’s session cookies, which he can use to log into his account and bypass the two-factor authentication.

2] Duplicate Code Generation

If you have used the Google Authenticator app, you know that it generates new codes after a particular time. Google Authenticator and other authenticator apps work on a particular algorithm. Random code generators generally start with a seed value to generate the first number. The algorithm then uses this first value to generate the remaining code values. If the hacker is able to understand this algorithm, he can easily create a duplicate code and log into the user’s account.

3] Brute Force

Brute Force is a technique to generate all the possible password combinations. The time for cracking a password using brute force depends on its length. The longer the password is, the more time it takes to crack it. Generally, the authentication codes are from 4 to 6 digits long, hackers can try a brute force attempt to bypass the 2FA. But today, the success rate of brute force attacks is less. This is because the authentication code remains valid only for a short period.

4] Social Engineering

Social Engineering is the technique in which an attacker tries to trick the user’s mind and forces him to enter his login credentials on a fake login page. No matter whether the attacker knows your username and password or not, he can bypass the two-factor authentication. How? Let’s see:

Let’s consider the first case in which the attacker knows your username and password. He cannot log into your account because you have enabled 2FA. To get the code, he can send you an email with a malicious link, creating a fear in you that your account can be hacked if you do not take immediate action. When you click on that link, you will be redirected to the hacker’s page that mimics the authenticity of the original webpage. Once you enter the passcode, your account will be hacked.

Now, let’s take another case in which the hacker does not know your username and password. Again, in this case, he sends you a phishing link and steals your username and password along with the 2FA code.

5] OAuth

OAuth integration provides users with a facility to log into their account using a third-party account. It is a reputed web application that uses authorization tokens to prove identity between the users and service providers. You can consider OAuth an alternate way to log into your accounts.

An OAuth mechanism works in the following way:

1. Site A requests Site B (e.g. Facebook) for an authentication token.
2. Site B considers that the request is generated by the user and verifies the user’s account.
3. Site B then sends a callback code and lets the attacker sign in.

In the above processes, we have seen that the attacker does not require to verify himself via 2FA. But for this bypass mechanism to work, the hacker should have the user’s account username and password.

This is how hackers can bypass the two-factor authentication of a user’s account.

How to prevent 2FA bypassing?

Hackers can indeed bypass the two-factor authentication, but in each method, they need the users’ consent which they get by tricking them. Without tricking the users, bypassing 2FA is not possible. Hence, you should take care of the following points:

• Before clicking on any link, please check its authenticity. You can do this by checking the sender’s email address.
• Create a strong password that contains a combination of alphabets, numbers, and special characters.
• Use only genuine authenticator apps, like Google authenticator, Microsoft authenticator, etc.
• Download and save the backup codes at a safe place.
• Never trust phishing emails that hackers use to trick the users’ minds.
• Do not share security codes with anyone.
• Setup security key on your account, an alternative to 2FA.
• Keep changing your password regularly.

Read: Tips to Keep Hackers out of your Windows computer.

Conclusion

Two-factor authentication is an effective security layer that protects your account from hijacking. Hackers always want to get a chance to bypass 2FA. If you are aware of different hacking mechanisms and change your password regularly, you can protect your account better.

Related posts

• A kéttényezős hitelesítés engedélyezése a Discordban

• A helyreállítási és biztonsági mentési beállítások megfelelő beállítása a kéttényezős hitelesítéshez

• A Drupal telepítése a WAMP használatával Windows rendszeren

• A legjobb szoftver és hardver Bitcoin pénztárcák Windows, iOS, Android rendszerhez

• Az Internet Radio Station ingyenes beállítása Windows PC-n

• Mi az a buta ablak szindróma – magyarázat és megelőzés

• A zip fájl túl nagy hiba a fájlok DropBoxból való letöltésekor

• Mi az a Blue Whale Challenge Dare Game

• A Windows 95 telepítése Windows 10 rendszeren

• Konvertálja a Magnet linkeket közvetlen letöltési hivatkozásokká a Seedr segítségével

• Bring Your Own Device (BYOD) előnyei, legjobb gyakorlatai stb.

• A munkamenet-üzenetküldő alkalmazás erős biztonságot kínál; Telefonszám nem szükséges!

• Videokonferencia etikett, tippek és szabályok, amelyeket be kell tartania

• A NASA Eyes segít felfedezni az Univerzumot, mint az űrhajósok

• 10 legjobb USB LED lámpa laptopokhoz

• A Fix Partner nem csatlakozott a router hibájához a TeamViewerben Windows 10 rendszeren

• Mit jelent az NFT, és hogyan készítsünk NFT digitális művészetet?

• Mi az a Big Data – egyszerű magyarázat példával

• Online hírnévkezelési tippek, eszközök és szolgáltatások

• Kilenc nosztalgikus technikai hangzás, amelyeket valószínűleg évek óta nem hallottál