Authentification à deux facteurs Non Safe, La recherche prouve - Comment, Forum sur la sécurité PC et la technologie | SensorsTechForum.com
CYBER NOUVELLES

Authentification à deux facteurs Non Safe, La recherche prouve

shutterstock_223094779Avez-vous entendu parler de l'authentification à deux facteurs? Aussi appelé 2FA ou de vérification 2-étape, il est une technologie qui a été autour depuis un certain temps. breveté en 1984, 2FA permet l'identification des utilisateurs en fonction de la combinaison de deux composants différents. Au cours des dernières années, 2FA a été considéré comme un moyen sécurisé d'identification de l'utilisateur. Cependant, les chercheurs récents peuvent simplement prouver mal de croyance.

Les différents types d'ingénierie sociale peuvent facilement tromper l'utilisateur en confirmant leur code d'authentification. Comment cela pourrait-il être fait? Selon Nasir Memon, Computer Science professeur à Tandon School of Engineering, l'escroc aurait simplement besoin de demander à l'utilisateur le code de vérification officiel.

Comment? En envoyant une seconde, message texte falsifié ou envoyez un courriel demandant à l'utilisateur de transmettre l'original. Prof. Memon a vu cela se produire à plusieurs reprises. Ce type de 2FA est principalement utilisé sur Internet pour vérifier l'identité d'un utilisateur qui a perdu son mot de passe. Ces codes sont généralement intégrés dans un lien hypertexte email.

Pour prouver que 2FA est en réalité peu fiable, Prof. Memon avec ses collègues Hossein Siadati et Toan Nguyen, publié un document basé sur leurs expériences qui illustre les problèmes liés 2FA-. Comme il s'avère, 2FA est surtout un problème dans les communications SMS.

Qu'est-ce que 2 facteurs d'authentification par SMS?

SMS-based verification is a subset of two-factor authentication (2FA) mécanismes où un mot de passe unique est utilisé comme un deuxième facteur d'authentification. SMS-based verification is not able to provide security against a phishing attack. L'argument est que, dans une attaque phishing réussie, l'attaquant attirera une victime d'entrer le mot de passe unique et. Cette attaque est déployée par des attaquants dans la nature.

Histoires connexes: Haut 5 Les attaques de Cyber ​​Démarré par Spear Phishing

L'expérience

Pour prouver leur point, les chercheurs ont réuni un groupe de 20 les utilisateurs de téléphones mobiles pour découvrir qu'un quart serait instantanément envoyer l'e-mail de vérification lorsque vous êtes invité.

Ce que le chercheur a fait est un AFVC imiter (Code de vérification Renvoi d'attaque) attaque, un terme qui ils ont élaboré à l'occasion de cyber escrocs utilisateurs dans les systèmes leurre d'ingénierie sociale impliquant 2FA.

Si, voici ce qui est arrivé au cours de la AFVC sur la 20 les utilisateurs mobiles:

[…] we imitated a VCFA attack using messages similar to Google verification code messages. We bought two 10-digit U.S.A phone numbers, un pour imiter le rôle d'un fournisseur de services (par exemple, Google dans notre expérience) et l'autre pour imiter le rôle de l'attaquant (par exemple, sending phishing message to subjects). The area code for the phone numbers were Mountain View, Californie (area code for Google’s headquarter) to make the first message appear more legitimate and the second one more deceptive. Nous avons choisi au hasard 20 sujets de la liste des contacts des expérimentateurs. The subjects included 10 males and 10 femelles, mostly aged between 25-35. 70% of the subjects were students. [...] We sent two messages to each subject from two different numbers. [...] 5 de 20 sujets transmis les codes de vérification. Cela se traduit à 25% succès pour l'attaque AFVC.

Lorsque les attaques AFVC se produisent dans un écosystème e-mail, il est plus facile pour l'utilisateur de déterminer si un message est vrai ou faux. Cependant, en SMS, il est beaucoup plus difficile de faire la différence. En d'autres termes, SMS est pas comme un message électronique dans lequel l'utilisateur peut avoir un bon aperçu à l'adresse de l'expéditeur et assurez-vous qu'il est réel.

Jetez un oeil à l'ensemble recherche.

Milena Dimitrova

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum depuis le début. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...