To-faktor-autentificering Not Safe, Forskning viser det - Hvordan, Teknologi og pc-sikkerhed Forum | SensorsTechForum.com
CYBER NEWS

To-faktor-autentificering Not Safe, Forskning viser det

shutterstock_223094779Har du hørt om to-faktor-autentificering? Også kendt som 2FA eller 2 totrinsbekræftelse, det er en teknologi, der har eksisteret i temmelig lang tid. Patenteret i 1984, 2FA giver identifikation af brugere baseret på kombinationen af ​​to forskellige komponenter. I løbet af de sidste par år, 2FA har været betragtet som en sikker måde at brugeridentifikation. Men, seneste forskere kan bare bevise denne tro forkert.

De forskellige typer af social engineering kan nemt narre brugeren til at bekræfte deres authentication-koder. Hvordan kunne det ske? Ifølge Nasir Memon, Datalogi professor ved Tandon School of Engineering, skurk ville simpelthen nødt til at bede brugeren om den officielle kontrolkode.

Hvordan? Ved at sende en anden, forfalskede SMS eller e-mail beder brugeren om at fremsende den originale. Prof. Memon har set det ske flere gange. Denne type af 2FA bruges oftest på tværs af internettet til at kontrollere identiteten af ​​en bruger, der har mistet deres password. Sådanne koder er normalt indlejret i en e-mail hyperlink.

For at bevise, at 2FA er faktisk upålidelig, Prof. Memon sammen med sine kolleger Hossein Siadati og Toan Nguyen, offentliggjort et dokument baseret på deres eksperimenter, der illustrerer 2FA-relaterede problemer. Da det viser sig,, 2FA er for det meste et problem i sms-kommunikation.

Hvad er SMS-baserede 2-faktor-godkendelse?

SMS-based verification is a subset of two-factor authentication (2FA) mekanismer, hvor en engangs-adgangskode anvendes som en anden faktor til autentifikation. SMS-based verification is not able to provide security against a phishing attack. Argumentet er, at i en vellykket phishing-angreb, angriberen vil lokke et offer til at indtaste engangs-adgangskode samt. Dette angreb er indsat af angribere i naturen.

Relaterede historier: Top 5 Cyber ​​angreb Startet af Spear phishing

eksperimentet

For at bevise deres punkt, forskerne indsamlet en gruppe af 20 mobiltelefonbrugere kun for at opdage, at en fjerdedel straks ville fremsende kontrollen e-mail, når du bliver bedt om.

Hvad forskeren gjorde, er efterligne en VCFA (Bekræftelseskode Forwarding Attack) angreb, et begreb, de udformet til lejligheden af ​​cyber skurke lokke brugere i de sociale, som involverer 2FA.

Så, her er hvad der skete under VCFA på 20 mobile brugere:

[…] we imitated a VCFA attack using messages similar to Google verification code messages. We bought two 10-digit U.S.A phone numbers, en til at efterligne rollen som en tjenesteudbyder (f.eks, Google i vores eksperiment) og den anden til at efterligne rolle angriberen (f.eks, sending phishing message to subjects). The area code for the phone numbers were Mountain View, CA (area code for Google’s headquarter) to make the first message appear more legitimate and the second one more deceptive. Vi valgte tilfældigt 20 fag fra listen over eksperimentatorer kontakt. The subjects included 10 males and 10 hunner, mostly aged between 25-35. 70% of the subjects were students. [...] We sent two messages to each subject from two different numbers. [...] 5 ud af 20 fag fremsendt verifikationskoder. Dette er oversat til 25% succes for VCFA angreb.

Når VCFA angreb sker i en e-økosystem, det er lettere for brugeren at bestemme, om en meddelelse er sand eller falsk. Men, i sms, det er meget svært at se forskel. Med andre ord, SMS er ikke som en email, hvor brugeren kan få et godt kig på afsenderens adresse og sørg for at det er ægte.

Tag et kig på hele forskning.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...