2要素認証は安全ではありません, 研究はそれを証明します

二要素認証について聞いたことがありますか? 2FAまたは2段階認証とも呼ばれます, それはかなり前から存在している技術です.

で特許を取得 1984, 2FAは、2つの異なるコンポーネントの組み合わせに基づいてユーザーの識別を提供します. 過去数年間, 2FAはユーザー識別の安全な方法と見なされてきました. でも, 最近の研究者は、この信念が間違っていることを証明するかもしれません.

さまざまな種類のソーシャルエンジニアリングにより、ユーザーをだまして認証コードを確認させることができます。. これはどのように行うことができますか? NasirMemonによると, タンドン工科大学のコンピュータサイエンス教授, 詐欺師は、ユーザーに公式の確認コードを要求するだけです。.

どのように? 秒を送信することによって, 元のメッセージを転送するようにユーザーに求める偽造されたテキストメッセージまたは電子メール. 教授. Memonはこれが複数回発生するのを見てきました. このタイプの2FAは主に、パスワードを紛失したユーザーのIDを確認するためにインターネット全体で使用されます. このようなコードは通常、電子メールのハイパーリンクに埋め込まれています.

2FAが実際に信頼できないことを証明するため, 教授. Memonと同僚のHosseinSiadatiおよびToanNguyen, 2FA関連の問題を説明する彼らの実験に基づいた論文を発表しました. それが判明したとして, 2FAは主にSMS通信の問題です.

SMSベースの2要素認証とは?

SMSベースの検証は、2要素認証のサブセットです (2FA) 認証の2番目の要素としてワンタイムパスワードが使用されるメカニズム. SMSベースの検証では、フィッシング攻撃に対するセキュリティを提供できません. 議論は、成功したフィッシング攻撃では, 攻撃者は被害者にワンタイムパスワードも入力するように誘惑します. この攻撃は、野生の攻撃者によって展開されます.

関連記事: 上 5 スピアフィッシングによるサイバー攻撃

実験

彼らの主張を証明するために, 研究者はのグループを集めました 20 携帯電話のユーザーは、プロンプトが表示されたときに4分の1が確認メールを即座に転送することを発見しただけです.

研究者がしたことはVCFAを模倣することです (検証コード転送攻撃) 攻撃, 2FAを含むソーシャルエンジニアリングスキームにユーザーを誘惑するサイバー犯罪者の機会のために彼らが作成した用語.

そう, これがVCFAの間に起こったことです 20 モバイルユーザー:

[…] Googleの確認コードメッセージに類似したメッセージを使用してVCFA攻撃を模倣しました. 10桁の米国の電話番号を2つ購入しました, サービスプロバイダーの役割を模倣するための1つ (例えば, 私たちの実験でのGoogle) もう1つは、攻撃者の役割を模倣するためのものです。 (例えば, 被験者にフィッシングメッセージを送信する). 電話番号の市外局番はマウンテンビューでした, CA (Google本社の市外局番) 最初のメッセージをより正当に見せ、2番目のメッセージをより欺瞞的に見せるため. ランダムに選択しました 20 実験者の連絡先リストからの被験者. 含まれる主題 10 男性と 10 女性, 主に 25-35. 70% 科目の学生でした. […] 2つの異なる番号から各件名に2つのメッセージを送信しました. […] 5 から 20 被験者は確認コードを転送しました. これはに翻訳されます 25% VCFA攻撃の成功.

電子メールエコシステムでVCFA攻撃が発生している場合, ユーザーがメッセージが真であるか偽物であるかを判断するのは簡単です. でも, SMSで, 違いを見分けるのはとても難しいです. 言い換えると, SMSは、ユーザーが送信者のアドレスをよく見て、それが本物であることを確認できる電子メールメッセージのようなものではありません。.

全体を見てください リサーチ.