Kako hakeri mogu zaobići dvofaktorsku autentifikaciju

Možda mislite da omogućavanje dvofaktorske provjere autentičnosti na vašem računu čini 100% sigurnim. Dvofaktorska autentifikacija(Two-factor authentication) je među najboljim metodama zaštite vašeg računa. No možda ćete se iznenaditi kad čujete da vaš račun može biti otet unatoč tome što je omogućena autentikacija s dva faktora. U ovom članku ćemo vam reći različite načine na koje napadači mogu zaobići dvofaktorsku autentifikaciju.

Kako hakeri mogu zaobići dvofaktorsku autentifikaciju

Što je dvofaktorska provjera autentičnosti(Authentication) (2FA)?

Prije nego počnemo, pogledajmo što je 2FA. Znate da morate unijeti lozinku za prijavu na svoj račun. Bez ispravne lozinke ne možete se prijaviti. 2FA je proces dodavanja dodatnog sigurnosnog sloja vašem računu. Nakon što ga omogućite, ne možete se prijaviti na svoj račun samo unosom lozinke. Morate izvršiti još jedan sigurnosni korak. To znači da u 2FA web stranica provjerava korisnika u dva koraka.

Pročitajte(Read) : Kako omogućiti potvrdu u 2 koraka na Microsoft računu(How to Enable 2-step Verification in Microsoft Account) .

Kako radi 2FA?

Razumijemo princip rada dvofaktorske autentifikacije. 2FA zahtijeva da se potvrdite dva puta. Kada unesete svoje korisničko ime i lozinku, bit ćete preusmjereni na drugu stranicu, gdje morate pružiti drugi dokaz da ste vi prava osoba koja se pokušava prijaviti. Web stranica može koristiti bilo koji od sljedećih metoda provjere:

OTP (jednokratna lozinka)

Zaobići dvofaktorsku autentifikaciju OTP

Nakon unosa lozinke, web stranica vam govori da se potvrdite unosom OTP -a poslanog na vaš registrirani broj mobitela. Nakon unosa ispravnog OTP -a , možete se prijaviti na svoj račun.

Brza obavijest

Zaobiđite promptnu obavijest o dvofaktorskoj autentifikaciji

Brza obavijest prikazuje se na vašem pametnom telefonu ako je povezan s internetom. Morate se potvrditi pritiskom na gumb “ Da(Yes) ”. Nakon toga bit ćete prijavljeni na svoj račun na računalu.

Rezervni kodovi

Zaobići dvofaktornu rezervnu šifru autentifikacije

Pričuvni(Backup) kodovi korisni su kada gornje dvije metode provjere ne rade. Možete se prijaviti na svoj račun unošenjem bilo kojeg od pričuvnih kodova koje ste preuzeli sa svog računa.

Aplikacija Autentifikator

Zaobiđite aplikaciju Autentifikator s dva faktora

U ovoj metodi morate povezati svoj račun s aplikacijom za autentifikaciju. Kad god se želite prijaviti na svoj račun, morate unijeti kod prikazan na aplikaciji za autentifikaciju instaliranu na vašem pametnom telefonu.

Postoji još nekoliko metoda provjere koje web-mjesto može koristiti.

Pročitajte(Read) : Kako dodati potvrdu u dva koraka na svoj Google račun(How To Add Two-step Verification To Your Google Account) .

Kako hakeri mogu zaobići dvofaktorsku autentifikaciju(Two-factor Authentication)

Bez sumnje, 2FA čini vaš račun sigurnijim. Ali još uvijek postoji mnogo načina na koje hakeri mogu zaobići ovaj sigurnosni sloj.

1] Krađa kolačića(Cookie Stealing) ili otmica sesije(Session Hijacking)

Krađa kolačića ili otmica sesije(Cookie stealing or session hijacking) metoda je krađe kolačića sesije korisnika. Nakon što haker uspije u krađi kolačića sesije, lako može zaobići dvofaktorsku autentifikaciju. Napadači poznaju mnoge metode otmice, kao što su fiksiranje sesije, njuškanje sesije, skriptiranje na više lokacija, napad zlonamjernog softvera, itd. Evilginx je među popularnim okvirima koje hakeri koriste za izvođenje napada čovjeka u sredini. U ovoj metodi, haker šalje phishing vezu korisniku koja ga vodi na stranicu za prijavu na proxy. Kada se korisnik prijavi na svoj račun pomoću 2FA, Evilginx bilježi njegove vjerodajnice za prijavu zajedno s kodom za provjeru autentičnosti. Budući da je Tužilaštvo(OTP)istječe nakon upotrebe i također vrijedi za određeni vremenski okvir, nema koristi od hvatanja autentifikacijskog koda. Ali haker ima kolačiće sesije korisnika, koje može koristiti za prijavu na svoj račun i zaobići dvofaktorsku autentifikaciju.

2] Generiranje duplikata koda

Ako ste koristili aplikaciju Google Authenticator , znate da ona generira nove kodove nakon određenog vremena. Google Authenticator i druge aplikacije za autentifikaciju rade na određenom algoritmu. Generatori slučajnog(Random) koda općenito počinju sa početnom vrijednošću za generiranje prvog broja. Algoritam zatim koristi ovu prvu vrijednost za generiranje preostalih vrijednosti koda. Ako je haker u stanju razumjeti ovaj algoritam, može lako stvoriti duplikat koda i prijaviti se na korisnički račun.

3] Brute Force

Brute Force je tehnika za generiranje svih mogućih kombinacija lozinki. Vrijeme za razbijanje lozinke grubom silom ovisi o njezinoj duljini. Što je lozinka duža, to je više vremena potrebno za njeno probijanje. Općenito, kodovi za provjeru autentičnosti imaju od 4 do 6 znamenki, hakeri mogu pokušati grubom silom zaobići 2FA. Ali danas je stopa uspješnosti napada grubom silom manja. To je zato što autentifikacijski kod ostaje valjan samo kratko vrijeme.

4] Društveni inženjering

Društveni inženjering je tehnika u kojoj napadač pokušava prevariti um korisnika i prisiljava ga da unese svoje vjerodajnice za prijavu na lažnu stranicu za prijavu. Bez obzira zna li napadač vaše korisničko ime i lozinku ili ne, može zaobići dvofaktorsku autentifikaciju. Kako? Da vidimo:

Razmotrimo prvi slučaj u kojem napadač zna vaše korisničko ime i lozinku. Ne može se prijaviti na vaš račun jer ste omogućili 2FA. Kako bi dobio kod, može vam poslati e-poruku sa zlonamjernom vezom, stvarajući strah da bi vaš račun mogao biti hakiran ako ne poduzmete hitnu akciju. Kada kliknete na tu vezu, bit ćete preusmjereni na stranicu hakera koja oponaša autentičnost izvorne web stranice. Nakon što unesete šifru, vaš će račun biti hakiran.

Sada, uzmimo još jedan slučaj u kojem haker ne zna vaše korisničko ime i lozinku. Opet(Again) , u ovom slučaju, šalje vam link za krađu identiteta i krade vaše korisničko ime i lozinku zajedno s 2FA kodom.

5] OAuth

OAuth integracija korisnicima pruža mogućnost prijave na svoj račun pomoću računa treće strane. Riječ je o poznatoj web aplikaciji koja koristi tokene za autorizaciju za dokazivanje identiteta između korisnika i pružatelja usluga. OAuth možete smatrati alternativnim načinom prijave na svoje račune.

OAuth mehanizam(OAuth) radi na sljedeći način:

  1. Mjesto A traži od web-mjesta B(Site B) (npr . Facebook ) token za autentifikaciju.
  2. Mjesto B(Site B) smatra da je zahtjev generirao korisnik i provjerava korisnički račun.
  3. Mjesto B(Site B) zatim šalje kod za povratni poziv i dopušta napadaču da se prijavi.

U gore navedenim procesima vidjeli smo da napadač ne zahtijeva samoprovjeru putem 2FA. Ali da bi ovaj mehanizam zaobilaženja funkcionirao, haker bi trebao imati korisničko ime i lozinku korisničkog računa.

Ovako hakeri mogu zaobići dvofaktorsku autentifikaciju korisničkog računa.

Kako spriječiti zaobilaženje 2FA?

Hakeri doista mogu zaobići dvofaktorsku autentifikaciju, ali u svakoj metodi im je potreban pristanak korisnika koji dobivaju prevarom. Bez prevare korisnika, zaobilaženje 2FA nije moguće. Stoga(Hence) biste trebali voditi računa o sljedećim točkama:

  • Prije nego kliknete na bilo koju poveznicu, provjerite njezinu autentičnost. To možete učiniti tako da provjerite adresu e-pošte pošiljatelja.
  • Napravite jaku lozinku(Create a strong password) koja sadrži kombinaciju abecede, brojeva i posebnih znakova.
  • Koristite(Use) samo originalne aplikacije za autentifikaciju, kao što su Google autentifikator, Microsoft autentifikator itd.
  • Preuzmite(Download) i spremite pričuvne kodove na sigurno mjesto.
  • Nikada ne vjerujte phishing porukama e-pošte koje hakeri koriste da prevare umove korisnika.
  • Ne dijelite sigurnosne kodove ni s kim.
  • Postavite(Setup) sigurnosni ključ na svom računu, alternativu 2FA.
  • Redovito mijenjajte lozinku.

Pročitajte(Read) : Savjeti kako hakere držati podalje od vašeg Windows računala(Tips to Keep Hackers out of your Windows computer) .

Zaključak

Dvofaktorska autentifikacija učinkovit je sigurnosni sloj koji štiti vaš račun od otmice. Hakeri uvijek žele dobiti priliku zaobići 2FA. Ako ste svjesni različitih mehanizama hakiranja i redovito mijenjate lozinku, možete bolje zaštititi svoj račun.



About the author

Ja sam softverski inženjer s više od 10 godina iskustva u području Windows inženjerstva. Specijalizirao sam se za razvoj aplikacija temeljenih na sustavu Windows, kao i upravljačkih programa za hardver i zvuk za Microsoftov operacijski sustav Windows sljedeće generacije, Windows 11. Moje iskustvo s izradom aplikacija za Windows čini me posebno vrijednim sredstvom za svaku tvrtku koja želi razviti inovativne tehnološke proizvode.



Related posts