Casa > cibernético Notícias > Autenticação de dois fatores não segura, A pesquisa comprova
CYBER NEWS

Autenticação de dois fatores não segura, A pesquisa comprova

por   |  Last Update:  |  0 Comentários  

shutterstock_223094779Você já ouviu falar em autenticação de dois fatores? Também conhecida como verificação 2FA ou em duas etapas, é uma tecnologia que já existe há algum tempo.

Patenteado em 1984, 2FA fornece identificação de usuários com base na combinação de dois componentes diferentes. Nos últimos anos, 2A FA foi considerada uma forma segura de identificação do usuário. Contudo, pesquisadores recentes podem provar que essa crença está errada.

Os vários tipos de engenharia social podem facilmente induzir o usuário a confirmar seus códigos de autenticação. Como isso poderia ser feito? De acordo com Nasir Memon, Professor de Ciência da Computação na Escola de Engenharia Tandon, o bandido precisaria simplesmente pedir ao usuário o código de verificação oficial.

Como? Enviando um segundo, mensagem de texto ou e-mail falsificado, solicitando ao usuário que encaminhe a original. Prof. Memon viu isso acontecer várias vezes. Esse tipo de 2FA é usado principalmente na Internet para verificar a identidade de um usuário que perdeu sua senha. Esses códigos geralmente são incorporados em um hiperlink de email.

Para provar que o 2FA não é realmente confiável, Prof. Memon junto com seus colegas Hossein Siadati e Toan Nguyen, publicaram um artigo baseado em seus experimentos que ilustra problemas relacionados ao 2FA. Como se vê, 2FA é principalmente um problema nas comunicações por SMS.

O que é autenticação de dois fatores baseada em SMS?

A verificação baseada em SMS é um subconjunto de autenticação de dois fatores (2FA) mecanismos em que uma senha descartável é usada como um segundo fator para autenticação. A verificação baseada em SMS não é capaz de fornecer segurança contra um ataque de phishing. O argumento é que, em um ataque bem-sucedido de phishing, o atacante atrairá a vítima para inserir a senha de uso único também. Esse ataque é implantado por atacantes em estado selvagem.

Histórias relacionadas: Topo 5 Ataques cibernéticos Iniciado por Lança Phishing

O experimento

Para provar seu ponto, os pesquisadores reuniram um grupo de 20 usuários de celulares apenas para descobrir que um quarto encaminharia instantaneamente o e-mail de verificação quando solicitado.

O que o pesquisador fez é imitar um VCFA (Ataque de encaminhamento de código de verificação) ataque, um termo que eles criaram para a ocasião de criminosos cibernéticos atraindo usuários para esquemas de engenharia social envolvendo 2FA.

assim, aqui está o que aconteceu durante o VCFA no 20 usuários móveis:

[…] imitamos um ataque de VCFA usando mensagens semelhantes às mensagens do código de verificação do Google. Compramos dois números de telefone dos EUA com 10 dígitos, um por imitar o papel de um provedor de serviços (v.g., Google em nosso experimento) e o outro por imitar o papel do atacante (v.g., enviando mensagem de phishing para assuntos). O código de área dos números de telefone era Mountain View, CA (código de área da sede do Google) para fazer a primeira mensagem parecer mais legítima e a segunda mais enganosa. Selecionamos aleatoriamente 20 assuntos da lista de contatos dos pesquisadores. Os sujeitos incluíram 10 machos e 10 fêmeas, principalmente com idade entre 25-35. 70% dos sujeitos eram estudantes. [...] Enviamos duas mensagens para cada sujeito de dois números diferentes. [...] 5 fora de 20 sujeitos encaminharam os códigos de verificação. Isso é traduzido para 25% sucesso para o ataque VCFA.

Quando ataques VCFA estão acontecendo em um ecossistema de email, é mais fácil para o usuário determinar se uma mensagem é verdadeira ou falsa. Contudo, em SMS, é muito difícil perceber a diferença. Em outras palavras, O SMS não é como uma mensagem de e-mail em que o usuário pode dar uma boa olhada no endereço do remetente e verificar se é real.

Ter um olhar para o todo pesquisa.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Postagens relacionadas:
  1. Facebook 2FA agora disponível através de aplicativos autenticadores Facebook finalmente introduziu dois fatores (2FA) authentication to users who...
  2. ICloud da Apple com autenticação de dois fatores Shortly after the scandal with the nude celebrity pictures that...
  3. Modlishka ferramenta pode ignorar a autenticação 2FA em ataques de phishing Two-factor authentication as means for securing access to services and...
  4. Operadoras de telefonia móvel poderia estar colocando suas informações pessoais em Jeopardy A autenticação em duas etapas tornou-se proeminente entre muitos provedores de serviços online....
  5. Como remover golpes de phishing em 2021 Este artigo foi criado para ajudá-lo...
  6. Métodos de autenticação modernas e Como Eles melhoram Segurança do usuário It’s not a secret that modern apps often become a...
  7. CVE-2021-22057: 2Problema de FA no acesso do VMware Workspace ONE A new VMware vulnerability should be patched immediately to avoid...
  8. Skype Contas cortado facilmente Independentemente de dois fatores-Protection da Microsoft Pelo visto, Microsoft has been facing some challenges of integrating Skype...

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo