Você pode pensar que habilitar a autenticação de dois fatores em sua conta a torna 100% segura. A autenticação de dois fatores^{(Two-factor authentication)} está entre os melhores métodos para proteger sua conta. Mas você pode se surpreender ao saber que sua conta pode ser invadida, apesar de habilitar a autenticação de dois fatores. Neste artigo, mostraremos as diferentes maneiras pelas quais os invasores podem ignorar a autenticação de dois fatores.

O que é autenticação^{(Authentication)} de dois fatores (2FA)?

Antes de começarmos, vamos ver o que é 2FA. Você sabe que precisa digitar uma senha para fazer login em sua conta. Sem a senha correta, você não pode fazer login. 2FA é o processo de adicionar uma camada de segurança extra à sua conta. Depois de ativá-lo, você não pode fazer login na sua conta digitando apenas a senha. Você precisa concluir mais uma etapa de segurança. Isso significa que no 2FA, o site verifica o usuário em duas etapas.

Leia^(Read) : Como habilitar a verificação em duas etapas na conta da Microsoft^{(How to Enable 2-step Verification in Microsoft Account)} .

Como funciona o 2FA?

Vamos entender o princípio de funcionamento da autenticação de dois fatores. O 2FA exige que você se verifique duas vezes. Ao inserir seu nome de usuário e senha, você será redirecionado para outra página, onde deverá fornecer uma segunda prova de que é a pessoa real que está tentando fazer login. Um site pode usar qualquer um dos seguintes métodos de verificação:

OTP (senha de uso único)

Depois de inserir a senha, o site informa para você verificar digitando o OTP enviado no seu número de celular registrado. Depois de inserir o OTP correto , você pode fazer login na sua conta.

Notificação imediata

A notificação imediata é exibida em seu smartphone se ele estiver conectado à Internet. Você deve verificar-se tocando no botão “ Sim^(Yes) ”. Depois disso, você estará logado em sua conta no seu PC.

Códigos de backup

Os códigos de backup^(Backup) são úteis quando os dois métodos de verificação acima não funcionam. Você pode fazer login em sua conta digitando qualquer um dos códigos de backup que você baixou de sua conta.

Aplicativo autenticador

Nesse método, você deve conectar sua conta a um aplicativo autenticador. Sempre que você quiser fazer login na sua conta, deverá inserir o código exibido no aplicativo autenticador instalado em seu smartphone.

Existem vários outros métodos de verificação que um site pode usar.

Leia^(Read) : Como adicionar a verificação em duas etapas à sua conta do Google^{(How To Add Two-step Verification To Your Google Account)} .

Como os hackers podem contornar a autenticação de dois fatores^{(Two-factor Authentication)}

Sem dúvida, o 2FA torna sua conta mais segura. Mas ainda existem muitas maneiras pelas quais os hackers podem contornar essa camada de segurança.

1] Roubo de cookies^{(Cookie Stealing)} ou seqüestro de sessão^{(Session Hijacking)}

O roubo de cookies ou o seqüestro de sessão^{(Cookie stealing or session hijacking)} é o método de roubar o cookie de sessão do usuário. Assim que o hacker obtiver sucesso em roubar o cookie de sessão, ele poderá facilmente ignorar a autenticação de dois fatores. Os invasores conhecem muitos métodos de seqüestro, como fixação de sessão, sniffing de sessão, script entre sites, ataque de malware, etc. Evilginx está entre as estruturas populares que os hackers usam para realizar um ataque man-in-the-middle. Nesse método, o hacker envia um link de phishing ao usuário que o leva a uma página de login do proxy. Quando o usuário faz login em sua conta usando 2FA, Evilginx captura suas credenciais de login junto com o código de autenticação. Desde o OTPexpirar após o uso e também válido por um determinado período de tempo, não adianta capturar o código de autenticação. Mas o hacker tem os cookies de sessão do usuário, que ele pode usar para fazer login em sua conta e ignorar a autenticação de dois fatores.

2] Geração de Código Duplicado

Se você usou o aplicativo Google Authenticator , sabe que ele gera novos códigos após um determinado tempo. O Google Authenticator^{(Google Authenticator)} e outros aplicativos autenticadores funcionam em um algoritmo específico. Os geradores de código aleatório^(Random) geralmente começam com um valor de semente para gerar o primeiro número. O algoritmo então usa esse primeiro valor para gerar os valores de código restantes. Se o hacker for capaz de entender esse algoritmo, ele poderá facilmente criar um código duplicado e fazer login na conta do usuário.

3] Força Bruta

Brute Force é uma técnica para gerar todas as combinações de senha possíveis. O tempo para quebrar uma senha usando força bruta depende de seu comprimento. Quanto maior a senha, mais tempo leva para decifrá-la. Geralmente, os códigos de autenticação têm de 4 a 6 dígitos, os hackers podem tentar uma tentativa de força bruta para contornar o 2FA. Mas hoje, a taxa de sucesso de ataques de força bruta é menor. Isso ocorre porque o código de autenticação permanece válido apenas por um curto período.

4] Engenharia Social

Engenharia Social é a técnica na qual um invasor tenta enganar a mente do usuário e o força a inserir suas credenciais de login em uma página de login falsa. Não importa se o invasor conhece seu nome de usuário e senha ou não, ele pode ignorar a autenticação de dois fatores. Como? Vamos ver:

Vamos considerar o primeiro caso em que o invasor conhece seu nome de usuário e senha. Ele não pode fazer login na sua conta porque você ativou o 2FA. Para obter o código, ele pode enviar um e-mail com um link malicioso, criando em você o medo de que sua conta possa ser invadida se você não tomar medidas imediatas. Ao clicar nesse link, você será redirecionado para a página do hacker que imita a autenticidade da página original. Depois de inserir a senha, sua conta será invadida.

Agora, vejamos outro caso em que o hacker não sabe seu nome de usuário e senha. Novamente^(Again) , neste caso, ele envia um link de phishing e rouba seu nome de usuário e senha junto com o código 2FA.

5] OAuth

A integração OAuth^(OAuth) oferece aos usuários a facilidade de fazer login em suas contas usando uma conta de terceiros. É um aplicativo da web de renome que usa tokens de autorização para provar a identidade entre os usuários e os provedores de serviços. Você pode considerar o OAuth uma maneira alternativa de fazer login em suas contas.

Um mecanismo OAuth funciona da seguinte maneira:

1. O Site A solicita ao Site B (por exemplo , Facebook ) um token de autenticação.
2. O Site B^{(Site B)} considera que a solicitação é gerada pelo usuário e verifica a conta do usuário.
3. O Site B^{(Site B)} envia um código de retorno de chamada e permite que o invasor entre.

Nos processos acima, vimos que o invasor não precisa se verificar via 2FA. Mas para que esse mecanismo de desvio funcione, o hacker deve ter o nome de usuário e a senha da conta do usuário.

É assim que os hackers podem ignorar a autenticação de dois fatores da conta de um usuário.

Como evitar o desvio de 2FA?

Os hackers podem, de fato, ignorar a autenticação de dois fatores, mas em cada método, eles precisam do consentimento dos usuários, que obtêm enganando-os. Sem enganar os usuários, ignorar o 2FA não é possível. Portanto^(Hence) , você deve se atentar aos seguintes pontos:

• Antes de clicar em qualquer link, verifique sua autenticidade. Você pode fazer isso verificando o endereço de e-mail do remetente.
• Crie uma senha forte^{(Create a strong password)} que contenha uma combinação de alfabetos, números e caracteres especiais.
• Use apenas aplicativos autenticadores genuínos, como autenticador do Google , autenticador da Microsoft etc.
• Baixe^(Download) e salve os códigos de backup em um local seguro.
• Nunca confie em e-mails de phishing que os hackers usam para enganar a mente dos usuários.
• Não compartilhe códigos de segurança com ninguém.
• Configure^(Setup) a chave de segurança em sua conta, uma alternativa ao 2FA.
• Continue alterando sua senha regularmente.

Leia^(Read) : Dicas para manter os hackers longe do seu computador Windows^{(Tips to Keep Hackers out of your Windows computer)} .

Conclusão

A autenticação de dois fatores é uma camada de segurança eficaz que protege sua conta contra sequestro. Os hackers sempre querem ter a chance de contornar o 2FA. Se você estiver ciente dos diferentes mecanismos de hackers e alterar sua senha regularmente, poderá proteger melhor sua conta.

How Hackers can get around Two-factor Authentication

You may thіnk that enabling two-factor authentіcation on your account makes it 100% secure. Two-factor authentication is among the best methods to protect your account. But you may be surprised to hear that your account can be hijacked despite enabling two-factor authentication. In this article, we will tell you the different ways by which attackers can bypass two-factor authentication.

What is Two-factor Authentication (2FA)?

Before we begin, let’s see what 2FA is. You know that you have to enter a password to log into your account. Without the correct password, you cannot log in. 2FA is the process of adding an extra security layer to your account. After enabling it, you cannot log into your account by entering the password only. You have to complete one more security step. This means in 2FA, the website verifies the user in two steps.

Read: How to Enable 2-step Verification in Microsoft Account.

How Does 2FA Work?

Let’s understand the working principle of two-factor authentication. The 2FA requires you to verify yourself two times. When you enter your username and password, you will be redirected to another page, where you have to provide a second proof that you are the real person trying to log in. A website can use any of the following verification methods:

OTP (One Time Password)

After entering the password, the website tells you to verify yourself by entering the OTP sent on your registered mobile number. After entering the correct OTP, you can log into your account.

Prompt Notification

Prompt notification is displayed on your smartphone if it is connected to the internet. You have to verify yourself by tapping on the “Yes” button. After that, you will be logged into your account on your PC.

Backup Codes

Backup codes are useful when the above two methods of verification won’t work. You can log into your account by entering any one of the backup codes you have downloaded from your account.

Authenticator App

In this method, you have to connect your account with an authenticator app. Whenever you want to log into your account, you have to enter the code displayed on the authenticator app installed on your smartphone.

There are several more methods of verification that a website can use.

Read: How To Add Two-step Verification To Your Google Account.

How Hackers can get around Two-factor Authentication

Undoubtedly, 2FA makes your account more secure. But there are still many ways by which hackers can bypass this security layer.

1] Cookie Stealing or Session Hijacking

Cookie stealing or session hijacking is the method of stealing the session cookie of the user. Once the hacker gets success in stealing the session cookie, he can easily bypass the two-factor authentication. Attackers know many methods of hijacking, like session fixation, session sniffing, cross-site scripting, malware attack, etc. Evilginx is among the popular frameworks that hackers use to perform a man-in-the-middle attack. In this method, the hacker sends a phishing link to the user that takes him to a proxy login page. When the user logs into his account using 2FA, Evilginx captures his login credentials along with the authentication code. Since the OTP expires after using it and also valid for a particular time frame, there is no use in capturing the authentication code. But the hacker has the user’s session cookies, which he can use to log into his account and bypass the two-factor authentication.

2] Duplicate Code Generation

If you have used the Google Authenticator app, you know that it generates new codes after a particular time. Google Authenticator and other authenticator apps work on a particular algorithm. Random code generators generally start with a seed value to generate the first number. The algorithm then uses this first value to generate the remaining code values. If the hacker is able to understand this algorithm, he can easily create a duplicate code and log into the user’s account.

3] Brute Force

Brute Force is a technique to generate all the possible password combinations. The time for cracking a password using brute force depends on its length. The longer the password is, the more time it takes to crack it. Generally, the authentication codes are from 4 to 6 digits long, hackers can try a brute force attempt to bypass the 2FA. But today, the success rate of brute force attacks is less. This is because the authentication code remains valid only for a short period.

4] Social Engineering

Social Engineering is the technique in which an attacker tries to trick the user’s mind and forces him to enter his login credentials on a fake login page. No matter whether the attacker knows your username and password or not, he can bypass the two-factor authentication. How? Let’s see:

Let’s consider the first case in which the attacker knows your username and password. He cannot log into your account because you have enabled 2FA. To get the code, he can send you an email with a malicious link, creating a fear in you that your account can be hacked if you do not take immediate action. When you click on that link, you will be redirected to the hacker’s page that mimics the authenticity of the original webpage. Once you enter the passcode, your account will be hacked.

Now, let’s take another case in which the hacker does not know your username and password. Again, in this case, he sends you a phishing link and steals your username and password along with the 2FA code.

5] OAuth

OAuth integration provides users with a facility to log into their account using a third-party account. It is a reputed web application that uses authorization tokens to prove identity between the users and service providers. You can consider OAuth an alternate way to log into your accounts.

An OAuth mechanism works in the following way:

1. Site A requests Site B (e.g. Facebook) for an authentication token.
2. Site B considers that the request is generated by the user and verifies the user’s account.
3. Site B then sends a callback code and lets the attacker sign in.

In the above processes, we have seen that the attacker does not require to verify himself via 2FA. But for this bypass mechanism to work, the hacker should have the user’s account username and password.

This is how hackers can bypass the two-factor authentication of a user’s account.

How to prevent 2FA bypassing?

Hackers can indeed bypass the two-factor authentication, but in each method, they need the users’ consent which they get by tricking them. Without tricking the users, bypassing 2FA is not possible. Hence, you should take care of the following points:

• Before clicking on any link, please check its authenticity. You can do this by checking the sender’s email address.
• Create a strong password that contains a combination of alphabets, numbers, and special characters.
• Use only genuine authenticator apps, like Google authenticator, Microsoft authenticator, etc.
• Download and save the backup codes at a safe place.
• Never trust phishing emails that hackers use to trick the users’ minds.
• Do not share security codes with anyone.
• Setup security key on your account, an alternative to 2FA.
• Keep changing your password regularly.

Read: Tips to Keep Hackers out of your Windows computer.

Conclusion

Two-factor authentication is an effective security layer that protects your account from hijacking. Hackers always want to get a chance to bypass 2FA. If you are aware of different hacking mechanisms and change your password regularly, you can protect your account better.

Related posts

• Como habilitar o Two-Factor Authentication em Discord

• Como configurar corretamente as opções de recuperação e backup para autenticação de dois fatores

• Como instalar o Drupal usando WAMP no Windows

• Best Software & Hardware Bitcoin Wallets para Windows, iOS, Android

• Setup Internet Radio Station Grátis em Windows PC

• Como criar auto-assinado SSL Certificates em Windows 10

• Bloqueado de Plex Server and Server Settings? Aqui está a correção!

• Ocorreu um erro durante a verificação de atualizações em VLC

• Como converter Binary para texto usando este texto para Binary Converter

• Zip file é muito grande erro ao baixar arquivos da DropBox

• Convert Magnet ligações para dirigir Download links usando Seedr

• Como usar um Template para criar um documento com LibreOffice

• O que é Silly Window Syndrome - Explanation and Prevention

• Best Laptop Tables para comprar online

• OpenGL aplicativos não rodam em Miracast wireless exibição no Windows 10

• Como excluir Your LastPass Account

• O que é Blue Whale Challenge Dare Game

• Essa conta não está ligada a nenhum Mixer account

• Disqus comment Box não carregando ou mostrando para um site

• Melhores ferramentas para enviar SMS livre do seu computador