Como os hackers podem contornar a autenticação de dois fatores

Você pode pensar que habilitar a autenticação de dois fatores em sua conta a torna 100% segura. A autenticação de dois fatores(Two-factor authentication) está entre os melhores métodos para proteger sua conta. Mas você pode se surpreender ao saber que sua conta pode ser invadida, apesar de habilitar a autenticação de dois fatores. Neste artigo, mostraremos as diferentes maneiras pelas quais os invasores podem ignorar a autenticação de dois fatores.

Como os hackers podem contornar a autenticação de dois fatores

O que é autenticação(Authentication) de dois fatores (2FA)?

Antes de começarmos, vamos ver o que é 2FA. Você sabe que precisa digitar uma senha para fazer login em sua conta. Sem a senha correta, você não pode fazer login. 2FA é o processo de adicionar uma camada de segurança extra à sua conta. Depois de ativá-lo, você não pode fazer login na sua conta digitando apenas a senha. Você precisa concluir mais uma etapa de segurança. Isso significa que no 2FA, o site verifica o usuário em duas etapas.

Leia(Read) : Como habilitar a verificação em duas etapas na conta da Microsoft(How to Enable 2-step Verification in Microsoft Account) .

Como funciona o 2FA?

Vamos entender o princípio de funcionamento da autenticação de dois fatores. O 2FA exige que você se verifique duas vezes. Ao inserir seu nome de usuário e senha, você será redirecionado para outra página, onde deverá fornecer uma segunda prova de que é a pessoa real que está tentando fazer login. Um site pode usar qualquer um dos seguintes métodos de verificação:

OTP (senha de uso único)

Ignorar autenticação de dois fatores OTP

Depois de inserir a senha, o site informa para você verificar digitando o OTP enviado no seu número de celular registrado. Depois de inserir o OTP correto , você pode fazer login na sua conta.

Notificação imediata

Ignorar a notificação de prompt de autenticação de dois fatores

A notificação imediata é exibida em seu smartphone se ele estiver conectado à Internet. Você deve verificar-se tocando no botão “ Sim(Yes) ”. Depois disso, você estará logado em sua conta no seu PC.

Códigos de backup

Ignorar o código de backup de autenticação de dois fatores

Os códigos de backup(Backup) são úteis quando os dois métodos de verificação acima não funcionam. Você pode fazer login em sua conta digitando qualquer um dos códigos de backup que você baixou de sua conta.

Aplicativo autenticador

Ignorar o aplicativo autenticador de autenticação de dois fatores

Nesse método, você deve conectar sua conta a um aplicativo autenticador. Sempre que você quiser fazer login na sua conta, deverá inserir o código exibido no aplicativo autenticador instalado em seu smartphone.

Existem vários outros métodos de verificação que um site pode usar.

Leia(Read) : Como adicionar a verificação em duas etapas à sua conta do Google(How To Add Two-step Verification To Your Google Account) .

Como os hackers podem contornar a autenticação de dois fatores(Two-factor Authentication)

Sem dúvida, o 2FA torna sua conta mais segura. Mas ainda existem muitas maneiras pelas quais os hackers podem contornar essa camada de segurança.

1] Roubo de cookies(Cookie Stealing) ou seqüestro de sessão(Session Hijacking)

O roubo de cookies ou o seqüestro de sessão(Cookie stealing or session hijacking) é o método de roubar o cookie de sessão do usuário. Assim que o hacker obtiver sucesso em roubar o cookie de sessão, ele poderá facilmente ignorar a autenticação de dois fatores. Os invasores conhecem muitos métodos de seqüestro, como fixação de sessão, sniffing de sessão, script entre sites, ataque de malware, etc. Evilginx está entre as estruturas populares que os hackers usam para realizar um ataque man-in-the-middle. Nesse método, o hacker envia um link de phishing ao usuário que o leva a uma página de login do proxy. Quando o usuário faz login em sua conta usando 2FA, Evilginx captura suas credenciais de login junto com o código de autenticação. Desde o OTPexpirar após o uso e também válido por um determinado período de tempo, não adianta capturar o código de autenticação. Mas o hacker tem os cookies de sessão do usuário, que ele pode usar para fazer login em sua conta e ignorar a autenticação de dois fatores.

2] Geração de Código Duplicado

Se você usou o aplicativo Google Authenticator , sabe que ele gera novos códigos após um determinado tempo. O Google Authenticator(Google Authenticator) e outros aplicativos autenticadores funcionam em um algoritmo específico. Os geradores de código aleatório(Random) geralmente começam com um valor de semente para gerar o primeiro número. O algoritmo então usa esse primeiro valor para gerar os valores de código restantes. Se o hacker for capaz de entender esse algoritmo, ele poderá facilmente criar um código duplicado e fazer login na conta do usuário.

3] Força Bruta

Brute Force é uma técnica para gerar todas as combinações de senha possíveis. O tempo para quebrar uma senha usando força bruta depende de seu comprimento. Quanto maior a senha, mais tempo leva para decifrá-la. Geralmente, os códigos de autenticação têm de 4 a 6 dígitos, os hackers podem tentar uma tentativa de força bruta para contornar o 2FA. Mas hoje, a taxa de sucesso de ataques de força bruta é menor. Isso ocorre porque o código de autenticação permanece válido apenas por um curto período.

4] Engenharia Social

Engenharia Social é a técnica na qual um invasor tenta enganar a mente do usuário e o força a inserir suas credenciais de login em uma página de login falsa. Não importa se o invasor conhece seu nome de usuário e senha ou não, ele pode ignorar a autenticação de dois fatores. Como? Vamos ver:

Vamos considerar o primeiro caso em que o invasor conhece seu nome de usuário e senha. Ele não pode fazer login na sua conta porque você ativou o 2FA. Para obter o código, ele pode enviar um e-mail com um link malicioso, criando em você o medo de que sua conta possa ser invadida se você não tomar medidas imediatas. Ao clicar nesse link, você será redirecionado para a página do hacker que imita a autenticidade da página original. Depois de inserir a senha, sua conta será invadida.

Agora, vejamos outro caso em que o hacker não sabe seu nome de usuário e senha. Novamente(Again) , neste caso, ele envia um link de phishing e rouba seu nome de usuário e senha junto com o código 2FA.

5] OAuth

A integração OAuth(OAuth) oferece aos usuários a facilidade de fazer login em suas contas usando uma conta de terceiros. É um aplicativo da web de renome que usa tokens de autorização para provar a identidade entre os usuários e os provedores de serviços. Você pode considerar o OAuth uma maneira alternativa de fazer login em suas contas.

Um mecanismo OAuth funciona da seguinte maneira:

  1. O Site A solicita ao Site B (por exemplo , Facebook ) um token de autenticação.
  2. O Site B(Site B) considera que a solicitação é gerada pelo usuário e verifica a conta do usuário.
  3. O Site B(Site B) envia um código de retorno de chamada e permite que o invasor entre.

Nos processos acima, vimos que o invasor não precisa se verificar via 2FA. Mas para que esse mecanismo de desvio funcione, o hacker deve ter o nome de usuário e a senha da conta do usuário.

É assim que os hackers podem ignorar a autenticação de dois fatores da conta de um usuário.

Como evitar o desvio de 2FA?

Os hackers podem, de fato, ignorar a autenticação de dois fatores, mas em cada método, eles precisam do consentimento dos usuários, que obtêm enganando-os. Sem enganar os usuários, ignorar o 2FA não é possível. Portanto(Hence) , você deve se atentar aos seguintes pontos:

  • Antes de clicar em qualquer link, verifique sua autenticidade. Você pode fazer isso verificando o endereço de e-mail do remetente.
  • Crie uma senha forte(Create a strong password) que contenha uma combinação de alfabetos, números e caracteres especiais.
  • Use apenas aplicativos autenticadores genuínos, como autenticador do Google , autenticador da Microsoft etc.
  • Baixe(Download) e salve os códigos de backup em um local seguro.
  • Nunca confie em e-mails de phishing que os hackers usam para enganar a mente dos usuários.
  • Não compartilhe códigos de segurança com ninguém.
  • Configure(Setup) a chave de segurança em sua conta, uma alternativa ao 2FA.
  • Continue alterando sua senha regularmente.

Leia(Read) : Dicas para manter os hackers longe do seu computador Windows(Tips to Keep Hackers out of your Windows computer) .

Conclusão

A autenticação de dois fatores é uma camada de segurança eficaz que protege sua conta contra sequestro. Os hackers sempre querem ter a chance de contornar o 2FA. Se você estiver ciente dos diferentes mecanismos de hackers e alterar sua senha regularmente, poderá proteger melhor sua conta.



About the author

Depois de quase 20 anos na indústria de tecnologia, aprendi muito sobre os produtos da Apple e como personalizá-los para minhas necessidades. Em particular, sei como usar a plataforma iOS para criar aparências personalizadas e interagir com meus usuários por meio de preferências do aplicativo. Essa experiência me deu informações valiosas sobre como a Apple projeta seus produtos e a melhor forma de melhorar a experiência do usuário.



Related posts