Hogyan kerülhetik meg a hackerek a kéttényezős hitelesítést?
Azt gondolhatja, hogy a kétfaktoros hitelesítés engedélyezése fiókjában 100%-os biztonságot nyújt. A kéttényezős hitelesítés(Two-factor authentication) az egyik legjobb módszer a fiók védelmére. De meglepődhet, ha azt hallja, hogy fiókját a kéttényezős hitelesítés engedélyezése ellenére is feltörhetik. Ebben a cikkben bemutatjuk azokat a különböző módokat, amelyekkel a támadók megkerülhetik a kéttényezős hitelesítést.
Mi az a kéttényezős hitelesítés(Authentication) (2FA)?
Mielőtt elkezdenénk, nézzük meg, mi az a 2FA. Tudja, hogy a fiókjába való bejelentkezéshez jelszót kell megadnia. A megfelelő jelszó nélkül nem tud bejelentkezni. A 2FA egy további biztonsági réteg hozzáadásának folyamata a fiókjához. Engedélyezése után nem tud bejelentkezni a fiókjába a jelszó megadásával. Még egy biztonsági lépést kell végrehajtania. Ez azt jelenti, hogy a 2FA-ban a webhely két lépésben ellenőrzi a felhasználót.
Olvassa el(Read) : A kétlépcsős azonosítás engedélyezése a Microsoft-fiókban(How to Enable 2-step Verification in Microsoft Account) .
Hogyan működik a 2FA?
Ismerjük meg a kéttényezős hitelesítés működési elvét. A 2FA megköveteli, hogy kétszer igazolja magát. Amikor megadja felhasználónevét és jelszavát, átirányítunk egy másik oldalra, ahol egy második igazolást kell benyújtania arról, hogy Ön a valódi személy, aki megpróbál bejelentkezni. Egy webhely a következő ellenőrzési módszerek bármelyikét használhatja:
OTP (egyszeri jelszó)
A jelszó megadása után a weboldal felszólítja, hogy igazolja magát a regisztrált mobilszámára küldött OTP megadásával. (OTP)A megfelelő OTP megadása után bejelentkezhet fiókjába.
Gyors értesítés
Az okostelefonon azonnali értesítés jelenik meg, ha csatlakozik az internethez. Az „ Igen(Yes) ” gomb megérintésével igazolnia kell magát . Ezt követően bejelentkezik a fiókjába a számítógépén.
Biztonsági kódok
A biztonsági(Backup) kódok akkor hasznosak, ha a fenti két ellenőrzési módszer nem működik. Fiókjába a fiókjából letöltött biztonsági kódok bármelyikének megadásával jelentkezhet be.
Authenticator App
Ezzel a módszerrel összekapcsolnia kell fiókját egy hitelesítő alkalmazással. Amikor be szeretne jelentkezni fiókjába, meg kell adnia az okostelefonjára telepített hitelesítő alkalmazásban megjelenő kódot.
Számos további ellenőrzési módszer is használható egy webhelyen.
Olvassa el(Read) : A kétlépcsős azonosítás hozzáadása Google-fiókjához(How To Add Two-step Verification To Your Google Account) .
Hogyan kerülhetik meg a hackerek a kéttényezős hitelesítést ?(Two-factor Authentication)
Kétségtelen, hogy a 2FA biztonságosabbá teszi fiókját. A hackerek azonban még mindig számos módon megkerülhetik ezt a biztonsági réteget.
1] Cookie-lopás(Cookie Stealing) vagy munkamenet-eltérítés(Session Hijacking)
A cookie-lopás vagy munkamenet-eltérítés(Cookie stealing or session hijacking) a felhasználó munkamenet-cookie-jának ellopásának módja. Ha a hacker sikeresen ellopja a munkamenet-sütit, könnyen megkerülheti a kéttényezős hitelesítést. A támadók számos eltérítési módszert ismernek, mint például a munkamenetrögzítés, a munkamenet-szippelés, a webhelyek közötti szkriptelés, a rosszindulatú programok támadása stb. Az Evilginx(Evilginx) azon népszerű keretrendszerek közé tartozik, amelyeket a hackerek a köztes támadás végrehajtására használnak. Ennél a módszernél a hacker egy adathalász hivatkozást küld a felhasználónak, amely a proxy bejelentkezési oldalára viszi. Amikor a felhasználó bejelentkezik a fiókjába a 2FA használatával, az Evilginx rögzíti a bejelentkezési adatait a hitelesítési kóddal együtt. Mivel az OTPhasználata után lejár, és egy adott időtartamra is érvényes, nincs értelme a hitelesítési kód rögzítésének. De a hacker rendelkezik a felhasználó munkamenet-cookie-ival, amelyek segítségével bejelentkezhet a fiókjába, és megkerülheti a kéttényezős hitelesítést.
2] Duplicate Code Generation
Ha használta a Google Hitelesítő(Google Authenticator) alkalmazást, akkor tudja, hogy az adott idő után új kódokat generál. A Google Authenticator(Google Authenticator) és más hitelesítő alkalmazások egy adott algoritmuson működnek. A véletlenszerű(Random) kódgenerátorok általában egy kezdőértékkel kezdik az első számot. Az algoritmus ezután ezt az első értéket használja a fennmaradó kódértékek generálásához. Ha a hacker képes megérteni ezt az algoritmust, könnyen létrehozhat egy duplikált kódot, és bejelentkezhet a felhasználói fiókba.
3] Brute Force
A Brute Force(Brute Force) az összes lehetséges jelszókombináció létrehozására szolgáló technika. A jelszó nyers erővel történő feltörésének ideje a jelszó hosszától függ. Minél hosszabb a jelszó, annál több időbe telik feltörni. Általában a hitelesítési kódok 4-6 számjegy hosszúak, a hackerek megpróbálhatnak brutális erővel megkerülni a 2FA-t. De manapság a nyers erőszakos támadások sikerességi aránya kisebb. Ennek az az oka, hogy a hitelesítési kód csak rövid ideig marad érvényben.
4] Social Engineering
A Social Engineering az a technika, amellyel a támadó megpróbálja becsapni a felhasználó elméjét, és arra kényszeríti, hogy egy hamis bejelentkezési oldalon adja meg bejelentkezési adatait. Nem számít, hogy a támadó ismeri-e felhasználónevét és jelszavát vagy sem, megkerülheti a kéttényezős hitelesítést. Hogyan? Lássuk:
Tekintsük az első esetet, amikor a támadó ismeri felhasználónevét és jelszavát. Nem tud bejelentkezni a fiókjába, mert engedélyezte a 2FA-t. A kód megszerzéséhez e-mailt küldhet egy rosszindulatú linkkel, ami félelmet kelt benned, hogy ha nem teszel azonnali lépéseket, feltörhetik a fiókodat. Amikor erre a hivatkozásra kattint, a rendszer átirányítja a hacker oldalára, amely az eredeti weboldal hitelességét utánozza. A jelszó megadása után fiókját feltörik.
Most vegyünk egy másik esetet, amikor a hacker nem tudja az Ön felhasználónevét és jelszavát. Ebben az esetben is küld egy adathalász linket, és ellopja felhasználónevét és jelszavát a 2FA kóddal együtt .(Again)
5] OAuth
Az OAuth(OAuth) integráció lehetővé teszi a felhasználók számára, hogy harmadik fél fiókjával jelentkezzenek be fiókjukba. Ez egy jó hírű webes alkalmazás, amely engedélyezési tokeneket használ a felhasználók és a szolgáltatók közötti azonosság bizonyítására. Az OAuth alternatív módja lehet a fiókjaiba való bejelentkezéshez.
Az OAuth mechanizmus a következő módon működik:
- Az A webhely hitelesítési tokent kér a B webhelytől(Site B) (pl . Facebook ).
- A B webhely(Site B) úgy véli, hogy a kérést a felhasználó generálja, és ellenőrzi a felhasználó fiókját.
- A B webhely(Site B) ezután visszahívási kódot küld, és lehetővé teszi a támadó számára, hogy bejelentkezzen.
A fenti folyamatok során azt láttuk, hogy a támadónak nem kell igazolnia magát a 2FA-n keresztül. De ahhoz, hogy ez a megkerülő mechanizmus működjön, a hackernek rendelkeznie kell a felhasználói fiók felhasználónevével és jelszavával.
A hackerek így megkerülhetik a felhasználói fiók kéttényezős hitelesítését.
Hogyan lehet megakadályozni a 2FA megkerülését?
A hackerek valóban megkerülhetik a kéttényezős hitelesítést, de mindegyik módszerhez szükségük van a felhasználók beleegyezésére, amelyet a becsapással kapnak meg. A felhasználók becsapása nélkül a 2FA megkerülése nem lehetséges. Ezért(Hence) a következő pontokra kell ügyelnie:
- Mielőtt bármilyen hivatkozásra kattintana, ellenőrizze annak hitelességét. Ezt a feladó e-mail címének ellenőrzésével teheti meg.
- Hozzon létre egy erős jelszót(Create a strong password) , amely ábécék, számok és speciális karakterek kombinációját tartalmazza.
- (Use)Csak eredeti hitelesítő alkalmazásokat használjon , például Google hitelesítőt, Microsoft hitelesítőt stb.
- Töltse(Download) le és mentse el a biztonsági kódokat biztonságos helyen.
- Soha ne bízzon az adathalász e-mailekben, amelyekkel a hackerek megtévesztik a felhasználók elméjét.
- Ne ossza meg senkivel a biztonsági kódokat.
- Állítsa(Setup) be fiókjában a biztonsági kulcsot, amely a 2FA alternatívája.
- Változtassa rendszeresen jelszavát.
Olvassa el(Read) : Tippek a hackerek távoltartásához Windows rendszerű számítógépén(Tips to Keep Hackers out of your Windows computer) .
Következtetés
A kéttényezős hitelesítés egy hatékony biztonsági réteg, amely megvédi fiókját a feltöréstől. A hackerek mindig lehetőséget akarnak kapni a 2FA megkerülésére. Ha ismeri a különböző feltörési mechanizmusokat, és rendszeresen megváltoztatja jelszavát, jobban megvédheti fiókját.
Related posts
A kéttényezős hitelesítés engedélyezése a Discordban
A helyreállítási és biztonsági mentési beállítások megfelelő beállítása a kéttényezős hitelesítéshez
A Drupal telepítése a WAMP használatával Windows rendszeren
A legjobb szoftver és hardver Bitcoin pénztárcák Windows, iOS, Android rendszerhez
Az Internet Radio Station ingyenes beállítása Windows PC-n
Mi az a buta ablak szindróma – magyarázat és megelőzés
A zip fájl túl nagy hiba a fájlok DropBoxból való letöltésekor
Mi az a Blue Whale Challenge Dare Game
A Windows 95 telepítése Windows 10 rendszeren
Konvertálja a Magnet linkeket közvetlen letöltési hivatkozásokká a Seedr segítségével
Bring Your Own Device (BYOD) előnyei, legjobb gyakorlatai stb.
A munkamenet-üzenetküldő alkalmazás erős biztonságot kínál; Telefonszám nem szükséges!
Videokonferencia etikett, tippek és szabályok, amelyeket be kell tartania
A NASA Eyes segít felfedezni az Univerzumot, mint az űrhajósok
10 legjobb USB LED lámpa laptopokhoz
A Fix Partner nem csatlakozott a router hibájához a TeamViewerben Windows 10 rendszeren
Mit jelent az NFT, és hogyan készítsünk NFT digitális művészetet?
Mi az a Big Data – egyszerű magyarázat példával
Online hírnévkezelési tippek, eszközök és szolgáltatások
Kilenc nosztalgikus technikai hangzás, amelyeket valószínűleg évek óta nem hallottál