Casa > cibernético Notícias > Autenticação de dois fatores não segura, A pesquisa comprova
CYBER NEWS

Autenticação de dois fatores não segura, A pesquisa comprova

shutterstock_223094779Você já ouviu falar em autenticação de dois fatores? Também conhecida como verificação 2FA ou em duas etapas, é uma tecnologia que já existe há algum tempo.

Patenteado em 1984, 2FA fornece identificação de usuários com base na combinação de dois componentes diferentes. Nos últimos anos, 2A FA foi considerada uma forma segura de identificação do usuário. Contudo, pesquisadores recentes podem provar que essa crença está errada.

Os vários tipos de engenharia social podem facilmente induzir o usuário a confirmar seus códigos de autenticação. Como isso poderia ser feito? De acordo com Nasir Memon, Professor de Ciência da Computação na Escola de Engenharia Tandon, o bandido precisaria simplesmente pedir ao usuário o código de verificação oficial.

Como? Enviando um segundo, mensagem de texto ou e-mail falsificado, solicitando ao usuário que encaminhe a original. Prof. Memon viu isso acontecer várias vezes. Esse tipo de 2FA é usado principalmente na Internet para verificar a identidade de um usuário que perdeu sua senha. Esses códigos geralmente são incorporados em um hiperlink de email.

Para provar que o 2FA não é realmente confiável, Prof. Memon junto com seus colegas Hossein Siadati e Toan Nguyen, publicaram um artigo baseado em seus experimentos que ilustra problemas relacionados ao 2FA. Como se vê, 2FA é principalmente um problema nas comunicações por SMS.

O que é autenticação de dois fatores baseada em SMS?

A verificação baseada em SMS é um subconjunto de autenticação de dois fatores (2FA) mecanismos em que uma senha descartável é usada como um segundo fator para autenticação. A verificação baseada em SMS não é capaz de fornecer segurança contra um ataque de phishing. O argumento é que, em um ataque bem-sucedido de phishing, o atacante atrairá a vítima para inserir a senha de uso único também. Esse ataque é implantado por atacantes em estado selvagem.

Histórias relacionadas: Topo 5 Ataques cibernéticos Iniciado por Lança Phishing

O experimento

Para provar seu ponto, os pesquisadores reuniram um grupo de 20 usuários de celulares apenas para descobrir que um quarto encaminharia instantaneamente o e-mail de verificação quando solicitado.

O que o pesquisador fez é imitar um VCFA (Ataque de encaminhamento de código de verificação) ataque, um termo que eles criaram para a ocasião de criminosos cibernéticos atraindo usuários para esquemas de engenharia social envolvendo 2FA.

assim, aqui está o que aconteceu durante o VCFA no 20 usuários móveis:

[…] imitamos um ataque de VCFA usando mensagens semelhantes às mensagens do código de verificação do Google. Compramos dois números de telefone dos EUA com 10 dígitos, um por imitar o papel de um provedor de serviços (v.g., Google em nosso experimento) e o outro por imitar o papel do atacante (v.g., enviando mensagem de phishing para assuntos). O código de área dos números de telefone era Mountain View, CA (código de área da sede do Google) para fazer a primeira mensagem parecer mais legítima e a segunda mais enganosa. Selecionamos aleatoriamente 20 assuntos da lista de contatos dos pesquisadores. Os sujeitos incluíram 10 machos e 10 fêmeas, principalmente com idade entre 25-35. 70% dos sujeitos eram estudantes. [...] Enviamos duas mensagens para cada sujeito de dois números diferentes. [...] 5 fora de 20 sujeitos encaminharam os códigos de verificação. Isso é traduzido para 25% sucesso para o ataque VCFA.

Quando ataques VCFA estão acontecendo em um ecossistema de email, é mais fácil para o usuário determinar se uma mensagem é verdadeira ou falsa. Contudo, em SMS, é muito difícil perceber a diferença. Em outras palavras, O SMS não é como uma mensagem de e-mail em que o usuário pode dar uma boa olhada no endereço do remetente e verificar se é real.

Ter um olhar para o todo pesquisa.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo