Perché preoccuparsi di certi tipi di 2fa se possono essere facilmente aggirati?

Naviga le tue risposte
1

In the wild, esiste un metodo per aggirare 2fa. L'essenza di ciò è che l'hacker non solo phish la password, ma anche phishing il secondo fattore e usa quelli per un vero login sulla propria macchina. (descritto in dettaglio qui link ). In questo scenario di attacco, 2fa dà un falso senso di sicurezza e rende più probabile che cada vittima del phishing. Dopotutto se la mia unica protezione contro il phishing è il controllo del certificato e dell'URL, allora sarà più probabile che la ricontrollo rispetto a quello che ho appena acquistato in un nuovo 2o fattore brillante che si finge di essere infallibile.

Se ottengo phishing in questo modo con il 2 ° fattore, l'hacker è dentro e finché non si disconnettono, possono rimanere per un tempo molto lungo causando tutti i tipi di problemi.

Chiaramente il 2fa ha uno svantaggio nel creare un falso senso di sicurezza. L'unico vantaggio che ho potuto vedere è che gli utenti che condividono la stessa password su servizi diversi o per effettuare accessi successivi utilizzando le stesse credenziali sono impossibili. Non sono quei vantaggi troppo piccoli rispetto allo svantaggio?

Ovviamente la risposta qui è rieducazione. Spiega agli utenti di usare 2fa ma sii sempre vigile: rendili consapevoli di questo tipo di attacco e quanto sia brutto anche con 2fa. Ma è difficile da fare considerando quante soluzioni 2fa vengono spacciate come "la" ultima soluzione finale per il phishing. Non è vero e in molti modi peggiora il problema, specialmente per i siti web. Mi sto perdendo qualcosa?

    
posta user3280964 06.09.2018 - 19:01
fonte

2 risposte

8

Sì, TOTP e HOTP (oltre a e-mail, SMS, ecc.) sono vulnerabili a questo. Perchè li utilizziamo? Perché sono facili da implementare e fanno forniscono alcuni protezione. Fintanto che la maggior parte delle persone non usa un tipo di secondo fattore qualsiasi , i phisher mireranno prevalentemente a quegli utenti, poiché il phishing di MitM (debatably) richiede più impegno.

L'ho già detto e lo ripeto, una volta che la maggior parte delle persone ha iniziato a utilizzare 2FA per i propri account importanti, questo tipo di phishing MitM diventerà molto più comune. Il modo per prevenire questo è U2F o WebAuthn, che utilizzano entrambi crittografia a chiave pubblica per autenticare il server e comunicare con il browser per verificare che il nome di dominio che hai visitato corrisponda al dominio per cui hai registrato la chiave.

Se vuoi vedere un post sul blog più lungo e (a mio avviso) meno di parte sul problema, ho sfogliato questo Evilginx 2 blog post e sembra coprire abbastanza bene tutto (e ha anche alcune cose su come i domini di phishing possono evitare gli scanner che cercano di bloccarli).

Mi sono concentrato sul phishing, ma come indicato da Ajedi32 , 2FA è utile per molto più che prevenire il phishing . È utile ogni volta che la tua password può essere compromessa, ma il secondo fattore non lo è.

    
risposta data 06.09.2018 - 19:20
fonte
2

Perché 2FA protegge contro molto più che il phishing.

Una delle principali minacce che protegge 2FA è riempimento delle credenziali , in cui gli autori degli attacchi prendono le password rubate da altri servizi nelle violazioni dei dati e prova a utilizzare le stesse credenziali per accedere al tuo account. Il riempimento di credenziali è una causa abbastanza comune di compromissione dell'account, con numerose istanze di attacchi riusciti verificatisi nel corso degli anni.

Come hai detto, è vero che l'attacco non funziona se usi password univoche generate a caso per ogni sito; ma di nuovo il phishing non funziona se si immette la password solo sul sito in cui ti sei iscritto. Il fatto che sia possibile per gli utenti diligenti difendersi da entrambi gli attacchi non significa che non siano più un problema.

2FA protegge anche da molte altre cattive pratiche che comunemente affliggono l'autenticazione basata su password, come password deboli, password scritte su post-it allegati al monitor dell'utente, ecc.

Inoltre, 2FA fornisce anche una resistenza limitata contro altri attacchi come keylogging e phishing forzando l'attaccante a utilizzare immediatamente le credenziali catturate e limitando la durata del compromesso a una singola sessione di accesso. Esistono anche alcune forme molto migliori di 2FA come i token U2F / WebAuthN che offrono una strong difesa contro il phishing, in quanto si integrano con il browser dell'utente e possono quindi garantire che le credenziali vengano sempre fornite solo al sito per il quale erano destinate.

    
risposta data 06.09.2018 - 20:41
fonte

Leggi altre domande sui tag

E riguardo le password fuzzy? Per la voce "corretta" entro un margine di errore? È possibile avere un'alta probabilità che una password non venga riutilizzata?