Можда мислите да омогућавање двофакторске аутентификације на вашем налогу чини 100% сигурним. Двофакторска аутентификација^{(Two-factor authentication)} је међу најбољим методама за заштиту вашег налога. Али можда ћете бити изненађени када чујете да ваш налог може бити отет упркос томе што је омогућена двофакторска аутентикација. У овом чланку ћемо вам рећи различите начине на које нападачи могу заобићи двофакторску аутентификацију.

Шта је двофакторска аутентификација^{(Authentication)} (2ФА)?

Пре него што почнемо, да видимо шта је 2ФА. Знате да морате да унесете лозинку да бисте се пријавили на свој налог. Без исправне лозинке, не можете да се пријавите. 2ФА је процес додавања додатног безбедносног слоја вашем налогу. Након што га омогућите, не можете се пријавити на свој налог уносом само лозинке. Морате да извршите још један безбедносни корак. То значи да у 2ФА веб локација верификује корисника у два корака.

Прочитајте^(Read) : Како омогућити верификацију у 2 корака на Мицрософт налогу^{(How to Enable 2-step Verification in Microsoft Account)} .

Како функционише 2ФА?

Хајде да разумемо принцип рада двофакторске аутентификације. 2ФА захтева да се верификујете два пута. Када унесете своје корисничко име и лозинку, бићете преусмерени на другу страницу, где морате да пружите други доказ да сте ви права особа која покушава да се пријави. Веб локација може да користи било који од следећих метода верификације:

ОТП (једнократна лозинка)

Након што унесете лозинку, веб локација вам каже да се верификујете уношењем ОТП^(OTP) -а послатог на ваш регистровани број мобилног телефона. Након што унесете исправан ОТП^(OTP) , можете се пријавити на свој налог.

Промпт Нотифицатион

Брзо обавештење се приказује на вашем паметном телефону ако је повезан на интернет. Морате се верификовати додиром на дугме „ Да^(Yes) “. Након тога, бићете пријављени на свој налог на рачунару.

Резервни кодови

Резервни^(Backup) кодови су корисни када горња два начина верификације не раде. Можете се пријавити на свој налог тако што ћете унети било који од резервних кодова које сте преузели са свог налога.

Апликација Аутхентицатор

У овој методи, морате да повежете свој налог са апликацијом за аутентификацију. Кад год желите да се пријавите на свој налог, морате да унесете код приказан на апликацији за аутентификацију инсталирану на вашем паметном телефону.

Постоји још неколико метода верификације које веб локација може да користи.

Прочитајте^(Read) : Како да додате верификацију у два корака на свој Гоогле налог^{(How To Add Two-step Verification To Your Google Account)} .

Како хакери могу да заобиђу двофакторску аутентификацију^{(Two-factor Authentication)}

Без сумње, 2ФА чини ваш налог сигурнијим. Али још увек постоји много начина на које хакери могу да заобиђу овај безбедносни слој.

1] Крађа колачића^{(Cookie Stealing)} или отмица сесије^{(Session Hijacking)}

Крађа колачића или отмица сесије^{(Cookie stealing or session hijacking)} је метод крађе колачића сесије корисника. Када хакер успе да украде колачић сесије, лако може заобићи двофакторску аутентификацију. Нападачи познају многе методе отмице, као што су фиксирање сесије, њушкање сесије, скриптовање на више локација, напад малвера, итд. Евилгинк^(Evilginx) је међу популарним оквирима које хакери користе да изведу напад „човек у средини“. У овој методи, хакер шаље пхисхинг линк кориснику који га води на страницу за пријаву на прокси. Када се корисник пријави на свој налог користећи 2ФА, Евилгинк^(Evilginx) снима његове акредитиве за пријаву заједно са кодом за аутентификацију. Пошто је Тужилаштво^(OTP)истиче након употребе и такође важи за одређени временски оквир, нема користи од хватања кода за аутентификацију. Али хакер има колачиће сесије корисника, које може да користи да се пријави на свој налог и заобиђе двофакторску аутентификацију.

2] Генерисање дупликата кода

Ако сте користили апликацију Гоогле Аутхентицатор^{(Google Authenticator)} , знате да она генерише нове кодове након одређеног времена. Гоогле Аутхентицатор^{(Google Authenticator)} и друге апликације за аутентификацију раде на одређеном алгоритму. Генератори случајног^(Random) кода обично почињу са основном вредношћу да би генерисали први број. Алгоритам затим користи ову прву вредност да генерише преостале вредности кода. Ако је хакер у стању да разуме овај алгоритам, може лако да направи дупликат кода и да се пријави на кориснички налог.

3] Бруте Форце

Бруте Форце^{(Brute Force)} је техника за генерисање свих могућих комбинација лозинки. Време за разбијање лозинке коришћењем грубе силе зависи од њене дужине. Што је лозинка дужа, то је више времена потребно за њено пробијање. Генерално, кодови за аутентификацију имају од 4 до 6 цифара, хакери могу покушати грубом силом да заобиђу 2ФА. Али данас је стопа успешности напада грубом силом мања. То је зато што аутентификациони код остаје важећи само кратак период.

4] Друштвени инжењеринг

Друштвени инжењеринг је техника у којој нападач покушава да превари ум корисника и приморава га да унесе своје акредитиве за пријаву на лажну страницу за пријаву. Без обзира да ли нападач зна ваше корисничко име и лозинку или не, он може заобићи двофакторску аутентификацију. Како? Хајде да видимо:

Хајде да размотримо први случај у којем нападач зна ваше корисничко име и лозинку. Не може да се пријави на ваш налог јер сте омогућили 2ФА. Да би добио код, он може да вам пошаље е-поруку са злонамерном везом, стварајући у вама страх да ваш налог може бити хакован ако не предузмете хитне мере. Када кликнете на ту везу, бићете преусмерени на страницу хакера која имитира аутентичност оригиналне веб странице. Када унесете шифру, ваш налог ће бити хакован.

Сада, узмимо још један случај у којем хакер не зна ваше корисничко име и лозинку. Опет^(Again) , у овом случају, он вам шаље пхисхинг линк и краде ваше корисничко име и лозинку заједно са 2ФА кодом.

5] ОАутх

ОАутх^(OAuth) интеграција пружа корисницима могућност да се пријаве на свој налог помоћу налога треће стране. То је позната веб апликација која користи токене за ауторизацију да докаже идентитет између корисника и провајдера услуга. ОАутх^(OAuth) можете сматрати алтернативним начином да се пријавите на своје налоге.

ОАутх механизам функционише^(OAuth) на следећи начин:

1. Сајт А захтева од локације Б^{(Site B)} (нпр . Фацебоок^(Facebook) ) токен за аутентификацију.
2. Сајт Б^{(Site B)} сматра да је захтев генерисао корисник и верификује налог корисника.
3. Локација Б^{(Site B)} затим шаље код за повратни позив и дозвољава нападачу да се пријави.

У горњим процесима смо видели да нападач не захтева да се верификује путем 2ФА. Али да би овај механизам заобилажења функционисао, хакер треба да има корисничко име и лозинку за кориснички налог.

Овако хакери могу да заобиђу двофакторску аутентификацију корисничког налога.

Како спречити заобилажење 2ФА?

Хакери заиста могу да заобиђу двофакторску аутентификацију, али у свакој методи им је потребна сагласност корисника коју добијају преваром. Без преваре корисника, заобилажење 2ФА није могуће. Дакле^(Hence) , требало би да водите рачуна о следећим тачкама:

• Пре него што кликнете на било коју везу, проверите њену аутентичност. То можете учинити тако што ћете проверити адресу е-поште пошиљаоца.
• Направите јаку лозинку^{(Create a strong password)} која садржи комбинацију алфабета, бројева и специјалних знакова.
• Користите^(Use) само оригиналне апликације за аутентификацију, као што су Гоогле^(Google) аутентификатор, Мицрософт^(Microsoft) аутентификатор итд.
• Преузмите^(Download) и сачувајте резервне кодове на безбедном месту.
• Никада не верујте пхисхинг имејловима које хакери користе да преваре умове корисника.
• Не делите сигурносне кодове ни са ким.
• Подесите^(Setup) безбедносни кључ на свом налогу, алтернативу 2ФА.
• Редовно мењајте лозинку.

Прочитајте^(Read) : Савети за спречавање хакера на вашем Виндовс рачунару^{(Tips to Keep Hackers out of your Windows computer)} .

Закључак

Двофакторска аутентификација је ефикасан сигурносни слој који штити ваш налог од отмице. Хакери увек желе да добију прилику да заобиђу 2ФА. Ако сте свесни различитих механизама хаковања и редовно мењате лозинку, можете боље да заштитите свој налог.

How Hackers can get around Two-factor Authentication

You may think that enabling two-factor authentication on yoυr account makes it 100% secure. Two-factor authentication is among the best methods to protect your account. But you may be surprised to hear that your account can be hijacked despite enabling two-factor authentication. In this article, we will tell you the different ways by which attackers can bypass two-factor authentication.

What is Two-factor Authentication (2FA)?

Before we begin, let’s see what 2FA is. You know that you have to enter a password to log into your account. Without the correct password, you cannot log in. 2FA is the process of adding an extra security layer to your account. After enabling it, you cannot log into your account by entering the password only. You have to complete one more security step. This means in 2FA, the website verifies the user in two steps.

Read: How to Enable 2-step Verification in Microsoft Account.

How Does 2FA Work?

Let’s understand the working principle of two-factor authentication. The 2FA requires you to verify yourself two times. When you enter your username and password, you will be redirected to another page, where you have to provide a second proof that you are the real person trying to log in. A website can use any of the following verification methods:

OTP (One Time Password)

After entering the password, the website tells you to verify yourself by entering the OTP sent on your registered mobile number. After entering the correct OTP, you can log into your account.

Prompt Notification

Prompt notification is displayed on your smartphone if it is connected to the internet. You have to verify yourself by tapping on the “Yes” button. After that, you will be logged into your account on your PC.

Backup Codes

Backup codes are useful when the above two methods of verification won’t work. You can log into your account by entering any one of the backup codes you have downloaded from your account.

Authenticator App

In this method, you have to connect your account with an authenticator app. Whenever you want to log into your account, you have to enter the code displayed on the authenticator app installed on your smartphone.

There are several more methods of verification that a website can use.

Read: How To Add Two-step Verification To Your Google Account.

How Hackers can get around Two-factor Authentication

Undoubtedly, 2FA makes your account more secure. But there are still many ways by which hackers can bypass this security layer.

1] Cookie Stealing or Session Hijacking

Cookie stealing or session hijacking is the method of stealing the session cookie of the user. Once the hacker gets success in stealing the session cookie, he can easily bypass the two-factor authentication. Attackers know many methods of hijacking, like session fixation, session sniffing, cross-site scripting, malware attack, etc. Evilginx is among the popular frameworks that hackers use to perform a man-in-the-middle attack. In this method, the hacker sends a phishing link to the user that takes him to a proxy login page. When the user logs into his account using 2FA, Evilginx captures his login credentials along with the authentication code. Since the OTP expires after using it and also valid for a particular time frame, there is no use in capturing the authentication code. But the hacker has the user’s session cookies, which he can use to log into his account and bypass the two-factor authentication.

2] Duplicate Code Generation

If you have used the Google Authenticator app, you know that it generates new codes after a particular time. Google Authenticator and other authenticator apps work on a particular algorithm. Random code generators generally start with a seed value to generate the first number. The algorithm then uses this first value to generate the remaining code values. If the hacker is able to understand this algorithm, he can easily create a duplicate code and log into the user’s account.

3] Brute Force

Brute Force is a technique to generate all the possible password combinations. The time for cracking a password using brute force depends on its length. The longer the password is, the more time it takes to crack it. Generally, the authentication codes are from 4 to 6 digits long, hackers can try a brute force attempt to bypass the 2FA. But today, the success rate of brute force attacks is less. This is because the authentication code remains valid only for a short period.

4] Social Engineering

Social Engineering is the technique in which an attacker tries to trick the user’s mind and forces him to enter his login credentials on a fake login page. No matter whether the attacker knows your username and password or not, he can bypass the two-factor authentication. How? Let’s see:

Let’s consider the first case in which the attacker knows your username and password. He cannot log into your account because you have enabled 2FA. To get the code, he can send you an email with a malicious link, creating a fear in you that your account can be hacked if you do not take immediate action. When you click on that link, you will be redirected to the hacker’s page that mimics the authenticity of the original webpage. Once you enter the passcode, your account will be hacked.

Now, let’s take another case in which the hacker does not know your username and password. Again, in this case, he sends you a phishing link and steals your username and password along with the 2FA code.

5] OAuth

OAuth integration provides users with a facility to log into their account using a third-party account. It is a reputed web application that uses authorization tokens to prove identity between the users and service providers. You can consider OAuth an alternate way to log into your accounts.

An OAuth mechanism works in the following way:

1. Site A requests Site B (e.g. Facebook) for an authentication token.
2. Site B considers that the request is generated by the user and verifies the user’s account.
3. Site B then sends a callback code and lets the attacker sign in.

In the above processes, we have seen that the attacker does not require to verify himself via 2FA. But for this bypass mechanism to work, the hacker should have the user’s account username and password.

This is how hackers can bypass the two-factor authentication of a user’s account.

How to prevent 2FA bypassing?

Hackers can indeed bypass the two-factor authentication, but in each method, they need the users’ consent which they get by tricking them. Without tricking the users, bypassing 2FA is not possible. Hence, you should take care of the following points:

• Before clicking on any link, please check its authenticity. You can do this by checking the sender’s email address.
• Create a strong password that contains a combination of alphabets, numbers, and special characters.
• Use only genuine authenticator apps, like Google authenticator, Microsoft authenticator, etc.
• Download and save the backup codes at a safe place.
• Never trust phishing emails that hackers use to trick the users’ minds.
• Do not share security codes with anyone.
• Setup security key on your account, an alternative to 2FA.
• Keep changing your password regularly.

Read: Tips to Keep Hackers out of your Windows computer.

Conclusion

Two-factor authentication is an effective security layer that protects your account from hijacking. Hackers always want to get a chance to bypass 2FA. If you are aware of different hacking mechanisms and change your password regularly, you can protect your account better.

Related posts

• Како омогућити двофакторску аутентификацију у Дисцорду

• Како правилно подесити опције опоравка и резервне копије за двофакторску аутентификацију

• Како инсталирати Друпал користећи ВАМП на Виндовс-у

• Најбољи софтвер и хардвер Битцоин новчаници за Виндовс, иОС, Андроид

• Бесплатно подесите Интернет радио станицу на Виндовс рачунару

• Тај налог није повезан ни са једним Микер налогом

• Бесплатан софтвер за управљање задацима за управљање тимским радом

• Како инсталирати Виндовс 95 на Виндовс 10

• Најбољи бесплатни софтвер за безбедне дигиталне нотебоок рачунаре и услуге на мрежи

• Најбоље карактеристике у ЛибреОффице Цалц-у

• 10 најбољих УСБ ЛЕД лампи за лаптопове

• Како да избришете свој ЛастПасс налог

• Разлика између аналогних, дигиталних и хибридних рачунара

• Најбољи алати за бесплатно слање СМС-а са рачунара

• Мицрософт Идентити Манагер: карактеристике, преузимање

• Дискус оквир за коментаре се не учитава нити приказује за веб локацију

• Вхитебоард Фок је бесплатна бела табла на мрежи која омогућава дељење у реалном времену

• СМС Организатор: СМС апликација коју покреће машинско учење

• Шта су виртуелне кредитне картице и како и где их добијате?

• Како претворити бинарни у текст користећи овај претварач текста у бинарни