È possibile aggirare il processo di autenticazione in due fasi?

Naviga le tue risposte
-1

È possibile che un hacker elimini il processo di autenticazione in due fasi se l'hacker non ha accesso fisico al mio telefono?

    
posta user15460 15.06.2016 - 22:55
fonte

5 risposte

4

Non dici che tipo di processo 2FA stai usando e che tipo di telefono hai. Ma se l'hacker riesce a installare un'applicazione privilegiata sul tuo telefono, potrebbe essere in grado di acquisire token 2FA inviati con SMS o estrapolare i segreti da alcune app OTP che usi.

E installare un'app sul tuo telefono senza avere accesso fisico potrebbe essere più facile di quanto credi, come invio di un MMS o utilizzando un download drive-by .

    
risposta data 15.06.2016 - 23:01
fonte
2

La difficoltà di bypassare 2FA dipende dal meccanismo utilizzato per il secondo fattore, ma con i codici SMS è sicuramente possibile ed è stato fatto prima. In un incidente recente di recente , gli hacker sono stati in grado di ingannare I dipendenti di Verizon reindirizzano i testi a un altro telefono semplicemente impersonando l'utente.

    
risposta data 15.06.2016 - 23:42
fonte
0

La risposta breve è sì.

Potrebbero installare malware sul telefono, aggiungere un reindirizzamento SMS, hackerare un servizio telefonico o semplicemente hackerare il sito di destinazione.

    
risposta data 16.06.2016 - 00:01
fonte
0

In caso di codici inviati con SMS o e-mail, oltre a una già citata app maliciuos che viene messa in un dispositivo:

  • recentemente un hack di social engineering ha stato rivelato dove un utente malintenzionato invia un messaggio per convincere la vittima a inoltrare (o immettere sul sito di un utente malintenzionato) il messaggio di autenticazione legittimo (tentativo di accesso da parte dell'utente malintenzionato) che seguirà

  • puoi sovvertire la sicurezza da solo eseguendo app come Google Hangouts (configurato per gestire SMS) o Pushbullet che inoltrano il messaggio o solo il contenuto delle notifiche dello schermo ad altri dispositivi che potrebbero non essere nelle vicinanze, ma potrebbero visualizza automaticamente i contenuti (come un tablet lasciato in ufficio)

risposta data 16.06.2016 - 02:07
fonte
0

Sì. Parlo per esperienza. Il nostro account aziendale è stato violato mentre avevamo 2FA sul posto.

  • Fornitore di servizi: Amazon AWS
  • La tecnica: ingegneria sociale.

L'hacker ha convinto il servicedesk di AWS a disabilitare 2FA.

Le altre risposte qui parlano di hacking del telefono o del sito web. Questo "hack" è un altro percorso e molto efficace.

Se l'hacker può in qualche modo prendere il controllo della tua e-mail, questo è un altro modo. Molti meccanismi 2FA hanno un reset o un failback via e-mail. Se controllano la tua posta, possono ripristinare tutto ciò che può essere ripristinato via mail.

    
risposta data 16.06.2016 - 09:26
fonte

Leggi altre domande sui tag

Qual è la differenza tra cracking e hacking etico? I video scaricati da YouTube potrebbero essere infetti (da Youtube)?