Como os hackers podem contornar a autenticação de dois fatores
Você pode pensar que habilitar a autenticação de dois fatores em sua conta a torna 100% segura. A autenticação de dois fatores(Two-factor authentication) está entre os melhores métodos para proteger sua conta. Mas você pode se surpreender ao saber que sua conta pode ser invadida, apesar de habilitar a autenticação de dois fatores. Neste artigo, mostraremos as diferentes maneiras pelas quais os invasores podem ignorar a autenticação de dois fatores.
O que é autenticação(Authentication) de dois fatores (2FA)?
Antes de começarmos, vamos ver o que é 2FA. Você sabe que precisa digitar uma senha para fazer login em sua conta. Sem a senha correta, você não pode fazer login. 2FA é o processo de adicionar uma camada de segurança extra à sua conta. Depois de ativá-lo, você não pode fazer login na sua conta digitando apenas a senha. Você precisa concluir mais uma etapa de segurança. Isso significa que no 2FA, o site verifica o usuário em duas etapas.
Leia(Read) : Como habilitar a verificação em duas etapas na conta da Microsoft(How to Enable 2-step Verification in Microsoft Account) .
Como funciona o 2FA?
Vamos entender o princípio de funcionamento da autenticação de dois fatores. O 2FA exige que você se verifique duas vezes. Ao inserir seu nome de usuário e senha, você será redirecionado para outra página, onde deverá fornecer uma segunda prova de que é a pessoa real que está tentando fazer login. Um site pode usar qualquer um dos seguintes métodos de verificação:
OTP (senha de uso único)
Depois de inserir a senha, o site informa para você verificar digitando o OTP enviado no seu número de celular registrado. Depois de inserir o OTP correto , você pode fazer login na sua conta.
Notificação imediata
A notificação imediata é exibida em seu smartphone se ele estiver conectado à Internet. Você deve verificar-se tocando no botão “ Sim(Yes) ”. Depois disso, você estará logado em sua conta no seu PC.
Códigos de backup
Os códigos de backup(Backup) são úteis quando os dois métodos de verificação acima não funcionam. Você pode fazer login em sua conta digitando qualquer um dos códigos de backup que você baixou de sua conta.
Aplicativo autenticador
Nesse método, você deve conectar sua conta a um aplicativo autenticador. Sempre que você quiser fazer login na sua conta, deverá inserir o código exibido no aplicativo autenticador instalado em seu smartphone.
Existem vários outros métodos de verificação que um site pode usar.
Leia(Read) : Como adicionar a verificação em duas etapas à sua conta do Google(How To Add Two-step Verification To Your Google Account) .
Como os hackers podem contornar a autenticação de dois fatores(Two-factor Authentication)
Sem dúvida, o 2FA torna sua conta mais segura. Mas ainda existem muitas maneiras pelas quais os hackers podem contornar essa camada de segurança.
1] Roubo de cookies(Cookie Stealing) ou seqüestro de sessão(Session Hijacking)
O roubo de cookies ou o seqüestro de sessão(Cookie stealing or session hijacking) é o método de roubar o cookie de sessão do usuário. Assim que o hacker obtiver sucesso em roubar o cookie de sessão, ele poderá facilmente ignorar a autenticação de dois fatores. Os invasores conhecem muitos métodos de seqüestro, como fixação de sessão, sniffing de sessão, script entre sites, ataque de malware, etc. Evilginx está entre as estruturas populares que os hackers usam para realizar um ataque man-in-the-middle. Nesse método, o hacker envia um link de phishing ao usuário que o leva a uma página de login do proxy. Quando o usuário faz login em sua conta usando 2FA, Evilginx captura suas credenciais de login junto com o código de autenticação. Desde o OTPexpirar após o uso e também válido por um determinado período de tempo, não adianta capturar o código de autenticação. Mas o hacker tem os cookies de sessão do usuário, que ele pode usar para fazer login em sua conta e ignorar a autenticação de dois fatores.
2] Geração de Código Duplicado
Se você usou o aplicativo Google Authenticator , sabe que ele gera novos códigos após um determinado tempo. O Google Authenticator(Google Authenticator) e outros aplicativos autenticadores funcionam em um algoritmo específico. Os geradores de código aleatório(Random) geralmente começam com um valor de semente para gerar o primeiro número. O algoritmo então usa esse primeiro valor para gerar os valores de código restantes. Se o hacker for capaz de entender esse algoritmo, ele poderá facilmente criar um código duplicado e fazer login na conta do usuário.
3] Força Bruta
Brute Force é uma técnica para gerar todas as combinações de senha possíveis. O tempo para quebrar uma senha usando força bruta depende de seu comprimento. Quanto maior a senha, mais tempo leva para decifrá-la. Geralmente, os códigos de autenticação têm de 4 a 6 dígitos, os hackers podem tentar uma tentativa de força bruta para contornar o 2FA. Mas hoje, a taxa de sucesso de ataques de força bruta é menor. Isso ocorre porque o código de autenticação permanece válido apenas por um curto período.
4] Engenharia Social
Engenharia Social é a técnica na qual um invasor tenta enganar a mente do usuário e o força a inserir suas credenciais de login em uma página de login falsa. Não importa se o invasor conhece seu nome de usuário e senha ou não, ele pode ignorar a autenticação de dois fatores. Como? Vamos ver:
Vamos considerar o primeiro caso em que o invasor conhece seu nome de usuário e senha. Ele não pode fazer login na sua conta porque você ativou o 2FA. Para obter o código, ele pode enviar um e-mail com um link malicioso, criando em você o medo de que sua conta possa ser invadida se você não tomar medidas imediatas. Ao clicar nesse link, você será redirecionado para a página do hacker que imita a autenticidade da página original. Depois de inserir a senha, sua conta será invadida.
Agora, vejamos outro caso em que o hacker não sabe seu nome de usuário e senha. Novamente(Again) , neste caso, ele envia um link de phishing e rouba seu nome de usuário e senha junto com o código 2FA.
5] OAuth
A integração OAuth(OAuth) oferece aos usuários a facilidade de fazer login em suas contas usando uma conta de terceiros. É um aplicativo da web de renome que usa tokens de autorização para provar a identidade entre os usuários e os provedores de serviços. Você pode considerar o OAuth uma maneira alternativa de fazer login em suas contas.
Um mecanismo OAuth funciona da seguinte maneira:
- O Site A solicita ao Site B (por exemplo , Facebook ) um token de autenticação.
- O Site B(Site B) considera que a solicitação é gerada pelo usuário e verifica a conta do usuário.
- O Site B(Site B) envia um código de retorno de chamada e permite que o invasor entre.
Nos processos acima, vimos que o invasor não precisa se verificar via 2FA. Mas para que esse mecanismo de desvio funcione, o hacker deve ter o nome de usuário e a senha da conta do usuário.
É assim que os hackers podem ignorar a autenticação de dois fatores da conta de um usuário.
Como evitar o desvio de 2FA?
Os hackers podem, de fato, ignorar a autenticação de dois fatores, mas em cada método, eles precisam do consentimento dos usuários, que obtêm enganando-os. Sem enganar os usuários, ignorar o 2FA não é possível. Portanto(Hence) , você deve se atentar aos seguintes pontos:
- Antes de clicar em qualquer link, verifique sua autenticidade. Você pode fazer isso verificando o endereço de e-mail do remetente.
- Crie uma senha forte(Create a strong password) que contenha uma combinação de alfabetos, números e caracteres especiais.
- Use apenas aplicativos autenticadores genuínos, como autenticador do Google , autenticador da Microsoft etc.
- Baixe(Download) e salve os códigos de backup em um local seguro.
- Nunca confie em e-mails de phishing que os hackers usam para enganar a mente dos usuários.
- Não compartilhe códigos de segurança com ninguém.
- Configure(Setup) a chave de segurança em sua conta, uma alternativa ao 2FA.
- Continue alterando sua senha regularmente.
Leia(Read) : Dicas para manter os hackers longe do seu computador Windows(Tips to Keep Hackers out of your Windows computer) .
Conclusão
A autenticação de dois fatores é uma camada de segurança eficaz que protege sua conta contra sequestro. Os hackers sempre querem ter a chance de contornar o 2FA. Se você estiver ciente dos diferentes mecanismos de hackers e alterar sua senha regularmente, poderá proteger melhor sua conta.
Related posts
Como habilitar o Two-Factor Authentication em Discord
Como configurar corretamente as opções de recuperação e backup para autenticação de dois fatores
Como instalar o Drupal usando WAMP no Windows
Best Software & Hardware Bitcoin Wallets para Windows, iOS, Android
Setup Internet Radio Station Grátis em Windows PC
Como criar auto-assinado SSL Certificates em Windows 10
Bloqueado de Plex Server and Server Settings? Aqui está a correção!
Ocorreu um erro durante a verificação de atualizações em VLC
Como converter Binary para texto usando este texto para Binary Converter
Zip file é muito grande erro ao baixar arquivos da DropBox
Convert Magnet ligações para dirigir Download links usando Seedr
Como usar um Template para criar um documento com LibreOffice
O que é Silly Window Syndrome - Explanation and Prevention
Best Laptop Tables para comprar online
OpenGL aplicativos não rodam em Miracast wireless exibição no Windows 10
Como excluir Your LastPass Account
O que é Blue Whale Challenge Dare Game
Essa conta não está ligada a nenhum Mixer account
Disqus comment Box não carregando ou mostrando para um site
Melhores ferramentas para enviar SMS livre do seu computador