Možda mislite da omogućavanje dvofaktorske provjere autentičnosti na vašem računu čini 100% sigurnim. Dvofaktorska autentifikacija^{(Two-factor authentication)} je među najboljim metodama zaštite vašeg računa. No možda ćete se iznenaditi kad čujete da vaš račun može biti otet unatoč tome što je omogućena autentikacija s dva faktora. U ovom članku ćemo vam reći različite načine na koje napadači mogu zaobići dvofaktorsku autentifikaciju.

Što je dvofaktorska provjera autentičnosti^{(Authentication)} (2FA)?

Prije nego počnemo, pogledajmo što je 2FA. Znate da morate unijeti lozinku za prijavu na svoj račun. Bez ispravne lozinke ne možete se prijaviti. 2FA je proces dodavanja dodatnog sigurnosnog sloja vašem računu. Nakon što ga omogućite, ne možete se prijaviti na svoj račun samo unosom lozinke. Morate izvršiti još jedan sigurnosni korak. To znači da u 2FA web stranica provjerava korisnika u dva koraka.

Pročitajte^(Read) : Kako omogućiti potvrdu u 2 koraka na Microsoft računu^{(How to Enable 2-step Verification in Microsoft Account)} .

Kako radi 2FA?

Razumijemo princip rada dvofaktorske autentifikacije. 2FA zahtijeva da se potvrdite dva puta. Kada unesete svoje korisničko ime i lozinku, bit ćete preusmjereni na drugu stranicu, gdje morate pružiti drugi dokaz da ste vi prava osoba koja se pokušava prijaviti. Web stranica može koristiti bilo koji od sljedećih metoda provjere:

OTP (jednokratna lozinka)

Nakon unosa lozinke, web stranica vam govori da se potvrdite unosom OTP -a poslanog na vaš registrirani broj mobitela. Nakon unosa ispravnog OTP -a , možete se prijaviti na svoj račun.

Brza obavijest

Brza obavijest prikazuje se na vašem pametnom telefonu ako je povezan s internetom. Morate se potvrditi pritiskom na gumb “ Da^(Yes) ”. Nakon toga bit ćete prijavljeni na svoj račun na računalu.

Rezervni kodovi

Pričuvni^(Backup) kodovi korisni su kada gornje dvije metode provjere ne rade. Možete se prijaviti na svoj račun unošenjem bilo kojeg od pričuvnih kodova koje ste preuzeli sa svog računa.

Aplikacija Autentifikator

U ovoj metodi morate povezati svoj račun s aplikacijom za autentifikaciju. Kad god se želite prijaviti na svoj račun, morate unijeti kod prikazan na aplikaciji za autentifikaciju instaliranu na vašem pametnom telefonu.

Postoji još nekoliko metoda provjere koje web-mjesto može koristiti.

Pročitajte^(Read) : Kako dodati potvrdu u dva koraka na svoj Google račun^{(How To Add Two-step Verification To Your Google Account)} .

Kako hakeri mogu zaobići dvofaktorsku autentifikaciju^{(Two-factor Authentication)}

Bez sumnje, 2FA čini vaš račun sigurnijim. Ali još uvijek postoji mnogo načina na koje hakeri mogu zaobići ovaj sigurnosni sloj.

1] Krađa kolačića^{(Cookie Stealing)} ili otmica sesije^{(Session Hijacking)}

Krađa kolačića ili otmica sesije^{(Cookie stealing or session hijacking)} metoda je krađe kolačića sesije korisnika. Nakon što haker uspije u krađi kolačića sesije, lako može zaobići dvofaktorsku autentifikaciju. Napadači poznaju mnoge metode otmice, kao što su fiksiranje sesije, njuškanje sesije, skriptiranje na više lokacija, napad zlonamjernog softvera, itd. Evilginx je među popularnim okvirima koje hakeri koriste za izvođenje napada čovjeka u sredini. U ovoj metodi, haker šalje phishing vezu korisniku koja ga vodi na stranicu za prijavu na proxy. Kada se korisnik prijavi na svoj račun pomoću 2FA, Evilginx bilježi njegove vjerodajnice za prijavu zajedno s kodom za provjeru autentičnosti. Budući da je Tužilaštvo^(OTP)istječe nakon upotrebe i također vrijedi za određeni vremenski okvir, nema koristi od hvatanja autentifikacijskog koda. Ali haker ima kolačiće sesije korisnika, koje može koristiti za prijavu na svoj račun i zaobići dvofaktorsku autentifikaciju.

2] Generiranje duplikata koda

Ako ste koristili aplikaciju Google Authenticator , znate da ona generira nove kodove nakon određenog vremena. Google Authenticator i druge aplikacije za autentifikaciju rade na određenom algoritmu. Generatori slučajnog^(Random) koda općenito počinju sa početnom vrijednošću za generiranje prvog broja. Algoritam zatim koristi ovu prvu vrijednost za generiranje preostalih vrijednosti koda. Ako je haker u stanju razumjeti ovaj algoritam, može lako stvoriti duplikat koda i prijaviti se na korisnički račun.

3] Brute Force

Brute Force je tehnika za generiranje svih mogućih kombinacija lozinki. Vrijeme za razbijanje lozinke grubom silom ovisi o njezinoj duljini. Što je lozinka duža, to je više vremena potrebno za njeno probijanje. Općenito, kodovi za provjeru autentičnosti imaju od 4 do 6 znamenki, hakeri mogu pokušati grubom silom zaobići 2FA. Ali danas je stopa uspješnosti napada grubom silom manja. To je zato što autentifikacijski kod ostaje valjan samo kratko vrijeme.

4] Društveni inženjering

Društveni inženjering je tehnika u kojoj napadač pokušava prevariti um korisnika i prisiljava ga da unese svoje vjerodajnice za prijavu na lažnu stranicu za prijavu. Bez obzira zna li napadač vaše korisničko ime i lozinku ili ne, može zaobići dvofaktorsku autentifikaciju. Kako? Da vidimo:

Razmotrimo prvi slučaj u kojem napadač zna vaše korisničko ime i lozinku. Ne može se prijaviti na vaš račun jer ste omogućili 2FA. Kako bi dobio kod, može vam poslati e-poruku sa zlonamjernom vezom, stvarajući strah da bi vaš račun mogao biti hakiran ako ne poduzmete hitnu akciju. Kada kliknete na tu vezu, bit ćete preusmjereni na stranicu hakera koja oponaša autentičnost izvorne web stranice. Nakon što unesete šifru, vaš će račun biti hakiran.

Sada, uzmimo još jedan slučaj u kojem haker ne zna vaše korisničko ime i lozinku. Opet^(Again) , u ovom slučaju, šalje vam link za krađu identiteta i krade vaše korisničko ime i lozinku zajedno s 2FA kodom.

5] OAuth

OAuth integracija korisnicima pruža mogućnost prijave na svoj račun pomoću računa treće strane. Riječ je o poznatoj web aplikaciji koja koristi tokene za autorizaciju za dokazivanje identiteta između korisnika i pružatelja usluga. OAuth možete smatrati alternativnim načinom prijave na svoje račune.

OAuth mehanizam^(OAuth) radi na sljedeći način:

1. Mjesto A traži od web-mjesta B^{(Site B)} (npr . Facebook ) token za autentifikaciju.
2. Mjesto B^{(Site B)} smatra da je zahtjev generirao korisnik i provjerava korisnički račun.
3. Mjesto B^{(Site B)} zatim šalje kod za povratni poziv i dopušta napadaču da se prijavi.

U gore navedenim procesima vidjeli smo da napadač ne zahtijeva samoprovjeru putem 2FA. Ali da bi ovaj mehanizam zaobilaženja funkcionirao, haker bi trebao imati korisničko ime i lozinku korisničkog računa.

Ovako hakeri mogu zaobići dvofaktorsku autentifikaciju korisničkog računa.

Kako spriječiti zaobilaženje 2FA?

Hakeri doista mogu zaobići dvofaktorsku autentifikaciju, ali u svakoj metodi im je potreban pristanak korisnika koji dobivaju prevarom. Bez prevare korisnika, zaobilaženje 2FA nije moguće. Stoga^(Hence) biste trebali voditi računa o sljedećim točkama:

• Prije nego kliknete na bilo koju poveznicu, provjerite njezinu autentičnost. To možete učiniti tako da provjerite adresu e-pošte pošiljatelja.
• Napravite jaku lozinku^{(Create a strong password)} koja sadrži kombinaciju abecede, brojeva i posebnih znakova.
• Koristite^(Use) samo originalne aplikacije za autentifikaciju, kao što su Google autentifikator, Microsoft autentifikator itd.
• Preuzmite^(Download) i spremite pričuvne kodove na sigurno mjesto.
• Nikada ne vjerujte phishing porukama e-pošte koje hakeri koriste da prevare umove korisnika.
• Ne dijelite sigurnosne kodove ni s kim.
• Postavite^(Setup) sigurnosni ključ na svom računu, alternativu 2FA.
• Redovito mijenjajte lozinku.

Pročitajte^(Read) : Savjeti kako hakere držati podalje od vašeg Windows računala^{(Tips to Keep Hackers out of your Windows computer)} .

Zaključak

Dvofaktorska autentifikacija učinkovit je sigurnosni sloj koji štiti vaš račun od otmice. Hakeri uvijek žele dobiti priliku zaobići 2FA. Ako ste svjesni različitih mehanizama hakiranja i redovito mijenjate lozinku, možete bolje zaštititi svoj račun.

How Hackers can get around Two-factor Authentication

You may think that enabling two-factor authentication on yoυr account makes it 100% ѕecυre. Two-factor authentication is among the best methods to protect your account. But you may be surprised to hear that your account can be hijacked despite enabling two-factor authentication. In this article, we will tell you the different ways by which attackers can bypass two-factor authentication.

What is Two-factor Authentication (2FA)?

Before we begin, let’s see what 2FA is. You know that you have to enter a password to log into your account. Without the correct password, you cannot log in. 2FA is the process of adding an extra security layer to your account. After enabling it, you cannot log into your account by entering the password only. You have to complete one more security step. This means in 2FA, the website verifies the user in two steps.

Read: How to Enable 2-step Verification in Microsoft Account.

How Does 2FA Work?

Let’s understand the working principle of two-factor authentication. The 2FA requires you to verify yourself two times. When you enter your username and password, you will be redirected to another page, where you have to provide a second proof that you are the real person trying to log in. A website can use any of the following verification methods:

OTP (One Time Password)

After entering the password, the website tells you to verify yourself by entering the OTP sent on your registered mobile number. After entering the correct OTP, you can log into your account.

Prompt Notification

Prompt notification is displayed on your smartphone if it is connected to the internet. You have to verify yourself by tapping on the “Yes” button. After that, you will be logged into your account on your PC.

Backup Codes

Backup codes are useful when the above two methods of verification won’t work. You can log into your account by entering any one of the backup codes you have downloaded from your account.

Authenticator App

In this method, you have to connect your account with an authenticator app. Whenever you want to log into your account, you have to enter the code displayed on the authenticator app installed on your smartphone.

There are several more methods of verification that a website can use.

Read: How To Add Two-step Verification To Your Google Account.

How Hackers can get around Two-factor Authentication

Undoubtedly, 2FA makes your account more secure. But there are still many ways by which hackers can bypass this security layer.

1] Cookie Stealing or Session Hijacking

Cookie stealing or session hijacking is the method of stealing the session cookie of the user. Once the hacker gets success in stealing the session cookie, he can easily bypass the two-factor authentication. Attackers know many methods of hijacking, like session fixation, session sniffing, cross-site scripting, malware attack, etc. Evilginx is among the popular frameworks that hackers use to perform a man-in-the-middle attack. In this method, the hacker sends a phishing link to the user that takes him to a proxy login page. When the user logs into his account using 2FA, Evilginx captures his login credentials along with the authentication code. Since the OTP expires after using it and also valid for a particular time frame, there is no use in capturing the authentication code. But the hacker has the user’s session cookies, which he can use to log into his account and bypass the two-factor authentication.

2] Duplicate Code Generation

If you have used the Google Authenticator app, you know that it generates new codes after a particular time. Google Authenticator and other authenticator apps work on a particular algorithm. Random code generators generally start with a seed value to generate the first number. The algorithm then uses this first value to generate the remaining code values. If the hacker is able to understand this algorithm, he can easily create a duplicate code and log into the user’s account.

3] Brute Force

Brute Force is a technique to generate all the possible password combinations. The time for cracking a password using brute force depends on its length. The longer the password is, the more time it takes to crack it. Generally, the authentication codes are from 4 to 6 digits long, hackers can try a brute force attempt to bypass the 2FA. But today, the success rate of brute force attacks is less. This is because the authentication code remains valid only for a short period.

4] Social Engineering

Social Engineering is the technique in which an attacker tries to trick the user’s mind and forces him to enter his login credentials on a fake login page. No matter whether the attacker knows your username and password or not, he can bypass the two-factor authentication. How? Let’s see:

Let’s consider the first case in which the attacker knows your username and password. He cannot log into your account because you have enabled 2FA. To get the code, he can send you an email with a malicious link, creating a fear in you that your account can be hacked if you do not take immediate action. When you click on that link, you will be redirected to the hacker’s page that mimics the authenticity of the original webpage. Once you enter the passcode, your account will be hacked.

Now, let’s take another case in which the hacker does not know your username and password. Again, in this case, he sends you a phishing link and steals your username and password along with the 2FA code.

5] OAuth

OAuth integration provides users with a facility to log into their account using a third-party account. It is a reputed web application that uses authorization tokens to prove identity between the users and service providers. You can consider OAuth an alternate way to log into your accounts.

An OAuth mechanism works in the following way:

1. Site A requests Site B (e.g. Facebook) for an authentication token.
2. Site B considers that the request is generated by the user and verifies the user’s account.
3. Site B then sends a callback code and lets the attacker sign in.

In the above processes, we have seen that the attacker does not require to verify himself via 2FA. But for this bypass mechanism to work, the hacker should have the user’s account username and password.

This is how hackers can bypass the two-factor authentication of a user’s account.

How to prevent 2FA bypassing?

Hackers can indeed bypass the two-factor authentication, but in each method, they need the users’ consent which they get by tricking them. Without tricking the users, bypassing 2FA is not possible. Hence, you should take care of the following points:

• Before clicking on any link, please check its authenticity. You can do this by checking the sender’s email address.
• Create a strong password that contains a combination of alphabets, numbers, and special characters.
• Use only genuine authenticator apps, like Google authenticator, Microsoft authenticator, etc.
• Download and save the backup codes at a safe place.
• Never trust phishing emails that hackers use to trick the users’ minds.
• Do not share security codes with anyone.
• Setup security key on your account, an alternative to 2FA.
• Keep changing your password regularly.

Read: Tips to Keep Hackers out of your Windows computer.

Conclusion

Two-factor authentication is an effective security layer that protects your account from hijacking. Hackers always want to get a chance to bypass 2FA. If you are aware of different hacking mechanisms and change your password regularly, you can protect your account better.

Related posts

• Kako omogućiti dvofaktorsku autentifikaciju u Discordu

• Kako ispravno postaviti opcije oporavka i sigurnosne kopije za dvofaktornu provjeru autentičnosti

• Kako instalirati Drupal koristeći WAMP na Windows

• Najbolji softverski i hardverski Bitcoin novčanici za Windows, iOS, Android

• Besplatno postavite internetsku radio stanicu na Windows PC

• Kako zaštititi lozinkom i osigurati pdf dokumente uz LibreOffice

• Najbolji ruksaci za prijenosna računala za muškarce i žene

• Što su virtualne kreditne kartice i kako ih i gdje dobiti?

• Kako šifrirati i dodati lozinke u LibreOffice dokumente

• Što su veliki podaci - jednostavno objašnjenje s primjerom

• Savjeti za kupovinu Cyber ​​ponedjeljka i crnog petka koje želite slijediti

• SMS Organizator: SMS aplikacija koju pokreće strojno učenje

• Kako stvoriti samopotpisane SSL certifikate u sustavu Windows 11/10

• Zip datoteka je prevelika pogreška prilikom preuzimanja datoteka s DropBoxa

• Najbolji besplatni softver za sigurno digitalno prijenosno računalo i online usluge

• Microsoft Identity Manager: značajke, preuzimanje

• Zaključani ste iz postavki Plex poslužitelja i poslužitelja? Evo popravka!

• Savjeti, alati i usluge za upravljanje reputacijom na mreži

• Whiteboard Fox je besplatna internetska ploča koja omogućuje dijeljenje u stvarnom vremenu

• Razlika između analognih, digitalnih i hibridnih računala