6 главных методов взлома двухфакторной аутентификации

Введение 

Двухфакторная аутентификация (2FA) уже давно известна своей безопасностью, которую она может принести организациям и их клиентам. Комбинация того, что вы знаете, того, что у вас есть, и того, чем вы являетесь, является сердцем и душой 2FA и помогает объяснить его относительную надежность. 

Несмотря на это, известно, что у злоумышленников есть несколько способов успешно атаковать 2FA, и ваша работа как этичного хакера - понять эти потенциальные атаки. В этой статье будут подробно описаны шесть основных методов атаки на двухфакторную аутентификацию и дано полное представление о типах атакующих двухфакторной аутентификации, с которыми вы можете столкнуться, работая этичным хакером.

Что такое двухфакторная аутентификация?

2FA - это метод аутентификации, который добавляет дополнительную безопасность. Вместо того, чтобы полагаться исключительно на традиционную комбинацию имени пользователя и пароля, схемы 2FA требуют, чтобы пользователи ставили пароли следующим образом:

• Что-то, что вы знаете: пароль, PIN-код и т. Д.
• Что-нибудь, что у вас есть: смарт-карта, USB-токен и т. Д.
• То, что вы есть сами по себе: голос, радужная оболочка глаза, отпечатки пальцев и т.д.

Есть два способа аутентификации:

• Односторонний: это наиболее распространенный тип аутентификации. Это метод только для сервера/только для клиента, при этом наиболее часто используется аутентификация только на сервере.
• Двусторонняя (взаимная аутентификация): и клиент, и сервер должны аутентифицироваться с помощью этого метода. Он не так распространен, как односторонняя аутентификация, но более безопасен

6 главных методов атаки на двухфакторную аутентификацию

1. Социальная инженерия

Без сомнения, лучший способ атаковать 2FA - это социальная инженерия. 2FA в значительной степени полагается на знания, которые известны только пользователю, и когда веб-сайт или сервис, использующий 2FA, кажется, не работает, пользователи, естественно, обращаются в службу технической поддержки. Злоумышленники начинают общаться от имени технической поддержки, чтобы заставить пользователя сбросить свой пароль или отдать им конфиденциальную информацию, связанную с их 2FA. 

Это естественная точка уязвимости для 2FA, так как любое взаимодействие со службой технической поддержки сделает вероятность раскрытия конфиденциальной информации пользователя практически неизбежной, и задается всего несколько вопросов (или вообще не будет, если пользователь добровольно предоставит эту информацию).

2. Взлом сеанса cookie.

Захват сеанса cookie был с момента появления сетевых компьютеров. Было сказано, что существуют сотни способов выполнить захват сеанса cookie, даже если для аутентификации используется 2FA. 

Недавно обнародованный метод выполнения этой техники был продемонстрирован экспертом по взлому Кевином Митником с использованием фреймворка для атаки «человек посередине» под названием evilginx . Данный метод включал в себя обман жертвы, заставив ее посетить домен с опечаткой, и предоставить пользователю страницу входа через прокси; взаимодействие с пользователем позволило evilginx захватить учетные данные пользователя и код аутентификации, которые затем передаются на законный сайт. Конечным результатом был записанный файл cookie сеанса, который можно использовать бесконечно. 

3. Генератор повторяющегося кода.

В зависимости от того, как ваша организация внедрила 2FA, генераторы кода или чисел могут использоваться для создания «чего-то, что вы знаете» (см. Google Authenticator). 

Генераторы «случайных» чисел обычно начинают с начального значения, генерируемого случайным образом, которое, в свою очередь, используется для генерации первого числа в коде. Это первое значение используется алгоритмом для генерации последующих кодовых значений. Если злоумышленники узнают алгоритм и начальное число, они могут использовать эту информацию для создания дублирующего генератора кода, идентичного генератору кода скомпрометированного пользователя. 

4. Двухфакторная аутентификация «не требуется»

Некоторые веб-сайты и сервисы, которые позволяют пользователям использовать 2FA, могут не требовать этого, что означает, что у пользователя нет настоящего 2FA. Напротив, доступ к 1FA по-прежнему будет доступен как пользователю, так и злоумышленникам, а это означает, что злоумышленники могут использовать 1FA для доступа к сайту или сервису. 

Беспокоит то, что многие широко используемые веб-сайты, включая Facebook, LinkedIn и Twitter, не требуют двухфакторной аутентификации, даже если они ее предлагают. В подобных случаях злоумышленники могут обойти двухфакторную аутентификацию, предоставив ответы на вопросы сброса пароля, которые гораздо менее безопасны. 

5. BruteForce

Какими были бы атаки аутентификации без типичных атак грубой силы? Несмотря на то, что 2FA предлагает лучшую безопасность, чем 1FA, грубая сила может помочь злоумышленникам обойти это. 

Атаки методом грубой силы возможны, если экран аутентификации 2FA не обеспечивает блокировку учетной записи для заранее определенного количества неудачных попыток. Это работает так: злоумышленник отправляет сообщение для сброса пароля на электронную почту скомпрометированного пользователя. Затем злоумышленник может перейти к этому электронному письму для сброса пароля и установить новый пароль, а затем просто подобрать код 2FA пользователя.

6. Ошибка двухфакторной аутентификации.

Ошибки по-прежнему являются фактом жизни в современном мире, и это распространяется и на мир 2FA. Примерно за последний год было несколько примеров того, как это влияло на широко используемые веб-сайты и сервисы, включая Uber. 

Опасность багги 2FA - это огромное количество машин, на которые она может повлиять. Например, в 2017 году было обнаружено, что уязвимость Return of Coppersmith's Attack (ROCA) воздействует на все продукты 2FA, включая смарт-карты и микросхемы TPM, которые используют сгенерированные Infineon Technologies ключи RSA с длиной ключа 2048 или меньше (большинство из них). По сей день поражены сотни миллионов устройств.

Заключение

Двухфакторная аутентификация должна была стать серьезным обновлением безопасности для многих веб-сайтов и сервисов, и на самом деле это так. При этом злоумышленники использовали врожденные недостатки технологии и ее реализации, чтобы атаковать 2FA и в конечном итоге получить доступ к веб-сайту, службе и даже системе. 

Этичные хакеры должны знать об этих различных методах атаки 2FA. Это потому, что есть вероятность, что по крайней мере один из этих методов будет использован против их организации в какой-то момент.

⏳ Наш основной канал - @debian_lab