La verifica in due passaggi di Google protegge l'utente dal dirottamento di sessione?

2

Dopo aver eseguito l'accesso a verifica Google in due passaggi , l'utente deve inserire la verifica codice che invia al suo cellulare. Senza di esso, non poteva accedere all'account Gmail.

Considera che un utente malintenzionato esegue il dirottamento di sessione. L'utente malintenzionato può accedere all'account Gmail se l'utente malintenzionato utilizza la sessione dirottata? O si fermerà all'inserimento del codice di verifica?

Aggiorna : L'attaccante esegue il dirottamento di sessione dopo che l'utente ha inserito il codice di verifica.

    
posta Hossein Ghiyasi Mehr 24.04.2014 - 18:51
fonte

2 risposte

0

Risposta breve: Sì, l'utente malintenzionato può utilizzare il dirottamento di sessione.

Risposta lunga: gli aggressori possono utilizzare XSS per ottenere il cookie del browser (quello impostato da Google) e iniettarlo nella richiesta di Google. Tuttavia, se ciò non accade, il malware può fare tutto ciò che vuole mentre sei loggato.

    
risposta data 24.04.2014 - 19:06
fonte
1

L'autenticazione a più fattori richiede di avere 2 o più di quanto segue:

  • Qualcosa che conosci (ad es. segreto come una password)
  • Qualcosa che hai (ad esempio, token o codice fornito per il dispositivo specificato)
  • Qualcosa che sei (dati biometrici)

(Nota anche che ci sono nuovi concetti per il multi-fattore, ma questi sono quelli di base per MFA)

Google sta utilizzando un sistema in cui hai una password e utilizzando un codice / pin (OTP). Ciò significa che qualcuno non può accedere al tuo account senza conoscere il codice, ma non significa che non possa dirottare la tua sessione. Se hanno compromesso la tua workstation, rete o browser, vedono tutto ciò che hai inserito, incluso questo pin. Questo potrebbe avvenire tramite un attacco classico man-in-the-middle o man-in-the-browser .

La sicurezza deve essere applicata a strati, quindi l'accesso in due fasi fornisce un componente, ma non è una garanzia assoluta o un proiettile d'argento. L'utente malintenzionato non può accedere senza il codice, quindi se desidera accedere, o deve compromettere direttamente il telefono (malware o app dannosa autorizzata che può leggere messaggi di testo), compromette il computer in modo che possano semplicemente manipolare il codice in esecuzione o inoltrare il codice a un utente malintenzionato durante la digitazione o comprometterti tramite l'ingegneria sociale (ad esempio, ti convincono a inoltrare il codice tramite SMS con un pretesto).

Quindi, è molto più difficile compromettere il tuo account, ma non impossibile. Ad esempio: se il tuo telefono è spento, farebbe fatica. Se il telefono fosse spento e non fosse stato compromesso, e non l'avessi inserito nel computer, avrebbero avuto difficoltà. Ci sono alcuni casi limite (ad es. Fanno un po 'di phreaking per intercettare il tuo SMS), ma generalmente è un upgrade della sicurezza del tuo account.

    
risposta data 25.04.2014 - 01:10
fonte

Leggi altre domande sui tag