Two-Factor Authentication Not Safe, Onderzoek bewijst het - Hoe, Technologie en PC Security Forum | SensorsTechForum.com
CYBER NEWS

Two-Factor Authentication Not Safe, Onderzoek bewijst het

shutterstock_223094779Heb je gehoord van twee-factor authenticatie? Ook bekend als 2FA of 2 stappen, Het is een technologie die al geruime tijd is geweest. gepatenteerd in 1984, 2FA geeft identificatie van gebruikers op basis van de combinatie van twee verschillende componenten. Gedurende de laatste paar jaar, 2FA is beschouwd als een veilige manier van identificatie gebruiker. Echter, recente onderzoekers kan gewoon bewijzen dat dit geloof verkeerd.

De verschillende vormen van social engineering kan gemakkelijk misleiden de gebruiker in de bevestiging van hun authenticatie codes. Hoe kon dit gebeuren? Volgens Nasir Memon, Computer Science professor aan Tandon School of Engineering, de boef zou gewoon nodig om de gebruiker te vragen voor de officiële verificatiecode.

Hoe? Door het versturen van een tweede, vervalst SMS-bericht of e-mail waarin de gebruiker de oorspronkelijke doorsturen. prof. Memon heeft dit zien gebeuren meerdere keren. Dit type 2FA wordt meestal gebruikt op internet om de identiteit van een gebruiker die zijn wachtwoord verloren verifiëren. Dergelijke codes zijn meestal ingebed in een e-mail hyperlink.

Om te bewijzen dat 2FA is eigenlijk onbetrouwbaar, prof. Memon samen met zijn collega's Hossein Siadati en Toan Nguyen, publiceerde een papieren op hun experimenten die 2FA-gerelateerde problemen illustreert. Zoals het blijkt, 2FA is vooral een probleem in SMS communicatie.

Wat is een SMS-gebaseerde 2-factor authenticatie?

SMS-based verification is a subset of two-factor authentication (2FA) mechanismen waarbij een eenmalig wachtwoord wordt gebruikt als een tweede factor authenticatie. SMS-based verification is not able to provide security against a phishing attack. Het argument is dat in een succesvolle phishing-aanval, de aanvaller zal een slachtoffer te lokken naar het eenmalige wachtwoord ook invoeren. Deze aanval is ingezet door aanvallers in het wild.

Verwante Verhalen: Top 5 Cyberaanvallen Gestart door Spear phishing

Het experiment

Om hun punt te bewijzen, de onderzoekers verzamelde een groep van 20 gebruikers van mobiele telefoons om te ontdekken dat een kwart direct zou toekomen de verificatie e-mail wanneer u wordt gevraagd.

Wat de onderzoeker niet wil imiteren een VCFA (Verificatie Code Forwarding Attack) aanval, een term die ze gemaakt ter gelegenheid van cyber boeven lokken gebruikers in social engineering regelingen waarbij 2FA.

Dus, hier is wat er is gebeurd tijdens de VCFA op de 20 mobiele gebruikers:

[…] we imitated a VCFA attack using messages similar to Google verification code messages. We bought two 10-digit U.S.A phone numbers, een voor het nabootsen van de rol van een dienstverlener (bijv., Google in ons experiment) en de andere voor het nabootsen van de rol van de aanvaller (bijv., sending phishing message to subjects). The area code for the phone numbers were Mountain View, CA (area code for Google’s headquarter) to make the first message appear more legitimate and the second one more deceptive. We willekeurig gekozen 20 onderwerpen uit de lijst met contacten van de onderzoekers. The subjects included 10 males and 10 vrouwtjes, mostly aged between 25-35. 70% of the subjects were students. [...] We sent two messages to each subject from two different numbers. [...] 5 uit 20 onderwerpen de verificatie codes doorgestuurd. Dit vertaalt naar 25% succes voor de VCFA aanval.

Wanneer VCFA aanvallen gebeuren in een e-ecosysteem, Het is gemakkelijker voor de gebruiker om te bepalen of een bericht waar of vals. Echter, in SMS, het is veel moeilijker om het verschil te vertellen. Met andere woorden, SMS is niet hetzelfde als een e-mailbericht waarin de gebruiker een goede blik op het adres van de afzender kan hebben en zorg ervoor dat het echt.

Neem een ​​kijkje op de hele onderzoek.

Milena Dimitrova

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum sinds het begin. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...