Processo di autenticazione a due fattori che utilizza un codice casuale monouso, penso che il dirottamento stagionale possa essere utilizzato, vorrei sapere se ci sono più tecniche per craccarlo.
Con il dirottamento di stagione, penso che se commetto un sequestro di una vittima che usa 2FA mi consentirà di ignorare tale processo e accedere direttamente al suo account.
Ehi, quindi penso che ti manchi il punto quando fai questa domanda. Prendiamo ad esempio un bancomat. Hai bisogno della tua carta di credito e di un segnaposto a 4 cifre. Il pin a 4 cifre ha 10 ^ 4 possibilità e potrebbe essere potenzialmente ipotizzabile.
Inoltre è importante guardare le informazioni che ti servono. La carta cade sotto "Qualcosa che hai" e la spilla cade sotto "Qualcosa che conosci". Questa è una parte importante dell'autorizzazione a 2 fattori perché rende altamente improbabile che acquisirai entrambi
il problema con il tentativo di rompere il pin è che ci sono altri meccanismi di sicurezza in atto. Al bancomat usano un acceleratore in cui puoi solo tentare di accedere X volte prima che prendano la tua carta. Su internet useranno un acceleratore e dopo alcuni tentativi ti costringeranno a entrare in un recaptcha o avranno un ritardo richiesto tra i tentativi falliti (alcuni secondi aggiunti prima che la pagina ti consenta di riprovare) o semplicemente ti blocchino dell'account
Quindi .... per rispondere alla tua domanda. L'autenticazione a 2 fattori potrebbe essere decifrabile, ma sono state prese misure per impedirti di spezzare e rendere estremamente improbabile che un aggressore lo spezzi. Non capisco molto bene la tua domanda quindi sono andato con questa risposta generica
Modifica: ho guardato su facebook come hai chiesto tu. Il pin che ti inviano è di 6 cifre inviate al tuo telefono tramite SMS. Ti permettono di scaricare un'app per generarli sul tuo telefono che potrebbe essere interessante da guardare. Non limitano gli accessi ma ti danno una "Notifica di Facebook" che dice che qualcuno ha tentato di accedere al tuo account senza successo.
Non sorprendentemente devi avere la password corretta per arrivare al punto di inserire il pin.
Se stai cercando di forzarlo devi inviare molto traffico a Facebook e notificherà la persona che stai tentando di crackare. Inoltre, la persona riceverà un messaggio di testo con un codice che dice che qualcuno ha tentato di accedere (con la password corretta).
Direi che come attaccante ..... il loro Facebook probabilmente non è un buon posto dove andare da remoto se usano l'autenticazione a 2 fattori. In realtà potrebbe essere più semplice possedere la propria scatola e andare su Facebook dal proprio computer da cui hanno già effettuato l'accesso.
Chiedi una risposta specifica al meccanismo 2FA che i siti web come Gmail forniscono.
Le tue password rientrano in qualcosa che conosci, l'unico codice temporale fornito tramite un'app del telefono o qualcosa di simile è qualcosa che hai.
Puoi rinforzare il codice temporale? Molto improbabile: hai solo una finestra di 30 secondi prima che il codice cambi. Inoltre, la maggior parte dei servizi online blocca l'account dopo un determinato numero di tentativi falliti.
Nella tua domanda hai menzionato il dirottamento di sessione. Probabilmente dovresti leggere un po 'di più sull'argomento perché il dirottamento di sessione non è realmente rilevante per l'autenticazione 2FA, sebbene sia una vera minaccia.
Leggi altre domande sui tag authentication