5 способов обойти двухфакторную аутентификацию (2FA)

[Hacker]

Вы можете подумать, что после внедрения двухфакторной аутентификации (2FA) все ваши сотрудники в безопасности.
Хотя 2FA - один из лучших способов добавить дополнительный уровень безопасности поверх учетных данных пользователя, его все же можно обойти. Мы покажем вам, как легко его обойти.
Только прошлой осенью ФБР предупредило общественность о растущей угрозе для организаций и их сотрудников и о том, как распространенные методы социальной инженерии используются для обхода 2FA.

Что такое двухфакторная аутентификация?
Двухфакторная аутентификация используется поверх пароля пользователя при входе в учетную запись в качестве второй формы аутентификации. Второй уровень аутентификации может представлять собой код, предоставляемый посредством текстового сообщения, приложений аутентификации, или он может состоять из отпечатка пальца или распознавания лица.
Двухфакторная аутентификация - это подмножество многофакторной аутентификации. В случае многофакторной аутентификации пользователь должен идентифицировать себя более чем двумя способами.

Как работает двухфакторная аутентификация?
Двухфакторная аутентификация всегда требует второй формы идентификации. Когда вы пытаетесь войти в учетную запись, сначала вы должны ввести свое имя пользователя и пароль.
Когда двухфакторная аутентификация включена, вам нужно будет предоставить вторую форму доказательства того, что вы являетесь владельцем учетной записи, прежде чем вы сможете получить к ней доступ.

Зачем нужна двухфакторная аутентификация?
Двухфакторная аутентификация - дополнительный уровень безопасности. Даже если вы случайно выдадите свой пароль, хакерам потребуется получить доступ ко второй форме идентификации, прежде чем они смогут войти в вашу учетную запись.
Настоятельно рекомендуется по возможности включить двухфакторную аутентификацию для любой важной учетной записи. Это дополнительный уровень безопасности, который в основном защищает вас.
Если, конечно, вы не станете жертвой социальной инженерии и сами не отдадите код двухфакторной аутентификации.

Если вы ищете приложение для аутентификации, вот несколько приложений для смартфонов, которые вы можете рассмотреть:

• Google Authenticator
• Microsoft Authenticator
• Аутентификатор Salesforce
• SecureAuth
• Duo Security
• Symantec VIP
• Transakt
• LastPass Authenticator

Как хакеры используют методы социальной инженерии для обхода двухфакторной аутентификации
Хотя организации считают двухфакторную аутентификацию безопасным способом идентификации для доступа, существуют довольно простые методы обхода двухфакторной аутентификации.
В большинстве случаев мы предполагаем, что у злоумышленников уже есть пароль пользователя.

1. Обход 2FA с обычным управлением сеансом
В этом случае злоумышленники используют функцию сброса пароля, потому что часто двухфакторная аутентификация не реализуется на странице входа в систему после сброса пароля.

Как это работает на практике?

1. Злоумышленник нажимает ссылку «сменить пароль».
2. Злоумышленник запрашивает токен сброса пароля.
3. Злоумышленник использует токен сброса пароля.
4. Злоумышленник входит в веб-приложение.

Используя этот метод, злоумышленники могут обойти двухфакторную аутентификацию на определенных платформах, где это позволяет архитектура сайта или платформы.

2. Обход двухфакторной аутентификации с использованием OAuth.[
Интеграция OAuth позволяет пользователям входить в свою учетную запись, используя стороннюю учетную запись. Это означает, что у вас будет альтернативный вариант входа на платформу со своими учетными записями Facebook или Gmail.

Как работает OAuth?

1. Сайт запрашивает токен аутентификации у стороннего сайта (например, Facebook).
2. Facebook (или другой сторонний сайт) проверяет учетную запись пользователя.
3. Facebook (или другой сторонний сайт) отправляет код обратного вызова.
4. Сайт выполняет авторизацию пользователя.

Здесь злоумышленникам даже не нужно использовать 2FA, если у них, например, есть имя пользователя и пароль Facebook или Gmail.

3. Обход двухфакторной аутентификации с использованием грубой силы.
Когда длина кода двухфакторной аутентификации составляет от четырех до шести символов (часто просто чисел), это позволяет злоумышленникам обойти двухфакторную аутентификацию с помощью грубой силы против учетной записи.

4. Обход 2FA с использованием ранее сгенерированных токенов.
Некоторые платформы предлагают пользователям возможность заранее сгенерировать токены, такие как документ с определенным количеством кодов, которые будут использоваться позже для обхода 2FA.
Если злоумышленник получает доступ к документу, он может легко использовать его для обхода двухфакторной аутентификации, предполагая, что у него также есть пароль пользователя.

5. Обход 2FA с помощью социальной инженерии

Случай 1
В этом случае мы также предполагаем, что злоумышленник владеет именем пользователя и паролем.
Чтобы получить код 2FA, злоумышленники могут отправить вам электронное письмо с выдуманным предлогом, чтобы запросить код подтверждения, который был отправлен на ваш номер. Как только вы отправите им код, злоумышленник сможет обойти двухфакторную аутентификацию.

Случай 2
Даже если у злоумышленников нет вашего имени пользователя и пароля, они могут обойти 2FA, заставив вас щелкнуть ссылку и перейти на фишинговый веб-сайт, имитирующий реальный веб-сайт, например LinkedIn. Электронное письмо будет выглядеть так, как будто оно пришло от самого поставщика услуг.
Когда вы предоставляете свои учетные данные на поддельной странице, хакер может использовать их для входа на настоящий веб-сайт. В этот момент вы получаете код, и как только вы вводите его на поддельном веб-сайте, хакер также получает код. Затем они могут успешно взломать вашу учетную запись.

Будьте в безопасности при использовании 2FA

Несмотря на недостатки, описанные выше, двухфакторная аутентификация по-прежнему является отличным способом защиты ваших учетных записей.

Вот несколько советов, как обезопасить себя при использовании двухфакторной аутентификации:

• По возможности используйте приложения-аутентификаторы, такие как Google или Microsoft Authenticator, вместо кодов текстовых сообщений.
• Никогда не сообщайте кому-либо коды безопасности.
• По возможности используйте коды с числом символов от 4 до 6.
• Если вы не уверены в своей безопасности, еще раз уточните у кого-нибудь, что вам следует делать.
• Используйте сложные пароли - используйте генератор паролей и менеджер паролей.
• Никогда не используйте пароли повторно.
• Рассмотрите возможность использования ключа безопасности в качестве альтернативной формы аутентификации, используемой в 2FA.
• Позаботьтесь о своей безопасности и разберитесь с распространенными тактиками социальной инженерии. Предоставьте своим сотрудникам знания, навыки и инструменты, чтобы они знали, с чем они сталкиваются.

 

[Hacker]

С момента появления всемирной паутины злоумышленники участвовали в поиске методов взлома систем. Аналогичным образом эксперты по безопасности разработали методы предотвращения проникновения злоумышленников в системы. Такая система представляет собой двухфакторную аутентификацию. Двухфакторная аутентификация - это метод использования портативного устройства в качестве аутентификатора для онлайн-порталов. Хотя большинство организаций считают это безопасным средством аутентификации своих пользователей на своих порталах, существуют методы, с помощью которых можно обойти двухфакторную аутентификацию. Методы обхода 2fa основаны на злоупотреблении дизайном и реализацией, которые часто не рассматриваются администраторами веб-приложений, что дает злоумышленникам возможность взломать пользовательские данные.

Рабочий механизм двухфакторной аутентификации:
Двухфакторная аутентификация (2FA) добавляет дополнительный уровень безопасности к вашим онлайн-аккаунтам, запрашивая код подтверждения после того, как вы войдете в систему со своим адресом электронной почты и паролем.

Код подтверждения генерируется приложением на вашем смартфоне. Чтобы получить доступ к вашей учетной записи, потенциальному злоумышленнику потребуется ваш адрес электронной почты, ваш пароль, а также ваш телефон. Двухфакторная аутентификация работает по принципу «что-то, что у вас есть», которым в большинстве случаев является ваш портативный телефон (Shier, 2014). Существует два способа доставки одноразового временного кода на ваш телефон.

а. Использование текстового сообщения
б. Использование стороннего программного обеспечения (Authy, Google Authenticator)

Использование текстового сообщения
Поставщики веб-приложений, используя общедоступные API-интерфейсы SMS, могут разработать собственный алгоритм генерации кода для отправки кодов 2fa пользователям посредством SMS. Этот метод не требует доступа к Интернету на мобильном телефоне, а использует GSM для отправки одноразовых кодов.

Использование стороннего программного обеспечения
Одноразовые коды также могут быть отправлены путем интеграции механизма входа в систему веб-приложения со сторонним программным обеспечением, таким как authy или google Authenticator. Этот метод требовал, чтобы у телефона был доступ в Интернет, однако, с помощью которого приложение взаимодействует со своим облачным интерфейсом, который взаимодействует с функцией входа в систему веб-приложения для генерации и синхронизации времени с панелью входа.

В основном работа с 2fa состоит из 4 шагов.
1. Аутентификация приложения
2. Стандартный вход
3. Генерация одноразовых паролей
4. Доставка OTP

Типы токенов аутентификации:
В настоящее время наиболее широко используются три различных типа OATH OTP: токены на основе событий, токены на основе времени и токены на основе задач.

Маркер на основе событий (HOTP): система OTP генерирует маркеры на основе событий по запросу, используя комбинацию статического случайного значения ключа (HMAC; H в HOTP) и динамического значения, такого как счетчик (IETF, 2005). Маркер на основе событий обычно действителен в течение переменного времени, но может быть действителен в течение неограниченного времени.

Токен на основе времени (TOTP): система OTP время от времени автоматически генерирует токены на основе времени на основе статического случайного значения ключа и динамического значения времени (например, текущего времени дня). Маркер, основанный на времени, действителен только в течение определенного периода времени, например 30 или 60 секунд (IETF, TOTP: Time-Based One-Time Password Algorithm, 2011). TOTP - это подмножество HOTP.

Маркер на основе запроса (OCRA): система OTP генерирует токены на основе запроса по запросу (IETF, OCRA: OATH Challenge-Response Algorithm, 2011) с использованием случайного ключа запроса, который предоставляется сервером аутентификации в каждом уникальном пользовательском журнале. в. Жетон, основанный на вызове, действителен в течение определенного времени, например нескольких минут.

Пробелы в существующем механизме двухфакторной аутентификации:​

Текущий механизм двухфакторной аутентификации имеет недостатки с точки зрения конструкции и реализации. Система двухфакторной аутентификации изначально была разработана для усиления безопасности клиентов и пользователей онлайн-платформ. Никогда не принималось во внимание, что такая система должна быть безопасной сама по себе, именно поэтому в статье обсуждается ряд обходных путей, которые можно использовать для обхода 2fa при различных обстоятельствах (Etay, 2014). Однако основное внимание здесь уделяется выявлению недостатков в реализации и дизайне 2fa.

Обход двухфакторной аутентификации:
В этой статье будет четыре метода обхода двухфакторных механизмов аутентификации в веб-системах.

Обход 2fa с использованием обычного управления сеансами
Этот метод заключается в обходе механизма двухфакторной аутентификации с использованием функций сброса пароля. Практически во всех веб-приложениях функция сброса пароля автоматически регистрирует пользователя в приложении после завершения процедуры сброса (Securityweek, 2016). В большинстве случаев система 2fa не применяется для функции входа в систему после сброса пароля. Процесс работает следующим образом

Чтобы изменить пароль> Запросить токен сброса пароля> Использовать токен сброса пароля> Войдите в веб-приложение

Используя эту технику, злоумышленник может обойти двухфакторную аутентификацию на онлайн-платформах. Обычно токен сброса пароля поддерживает сеанс с приложением сразу после того, как сброс имеет место для токена, что приводит к обходу.

Обход 2fa через механизм Oauth
Интеграция Oauth - это сторонний механизм входа в систему, который позволяет пользователю входить в систему с использованием сторонней учетной записи. Обычно это известное веб-приложение, такое как facebook или google. Типичный запрос Oauth работает следующим образом

Site.com запрашивает у facebook токен аутентификации> facebook проверяет учетную запись пользователя> Facebook отправляет код обратного вызова> Site.com выполняет вход пользователя в систему

Поскольку замечено, что в этом потоке процесса нет вмешательства 2fa. Злоумышленник потенциально может злоупотребить этим механизмом и использовать интеграцию Oauth для входа в веб-приложение вместо того, чтобы использовать для этого имя пользователя и пароль (Shah, 2014). Чтобы этот обход работал, злоумышленник должен иметь доступ к учетной записи интеграции Oauth для входа от имени пользователя.

Обход 2fa с помощью грубой силы
Веб-разработчики оставляют очень неприятный недостаток, когда они забывают установить ограничение скорости в полях ввода, в случае 2fa, если поле не ограничено по скорости, существует возможность атак грубой силы, с помощью которых злоумышленник может грубо форсировать код 2fa, отправленный на устройство (Bullock, 2016). Обычно длина кода 2fa составляет от 4 до 6 символов, которые часто являются числами, и это дает возможность 151800, что в реальном сценарии легко подобрать с помощью обычного компьютера.

Обход 2fa с использованием условий гонки
Состояние гонки называется рекурсивным использованием ранее известного значения. Это атака, которая использует способность приложения использовать ранее использованные или неиспользованные токены в более поздний момент времени. Учитывая, что с точки зрения 2fa (Hoffmen, 2015), злоумышленник может использовать ранее использованные или неиспользованные значения токенов для проверки устройства. Однако этот метод требует, чтобы злоумышленник имел доступ к ранее созданным значениям, что можно сделать, изменив алгоритм приложения генерации кода или перехватив ранее известный код.

Будущие рекомендации по безопасности 2fa
Сама 2fa должна иметь руководящие принципы и брифинги, с помощью которых ее реализация может быть выполнена безопасно, большинство организаций выполняют реализацию 2fa по умолчанию, из-за чего такие уязвимости продолжают возникать и, таким образом, безопасность их пользователей ставится под угрозу. 2fa развивается в MFA (многофакторная аутентификация), которая следует той же архитектуре, что и 2fa, а это означает, что уязвимости также похожи.

Однако MFA использует не только портативное устройство в качестве точки аутентификации, но и несколько устройств, связанных с Интернетом вещей, MFA также имеет тот же принцип работы, что описан ранее, но вместо одной точки аутентификации он использует все и любое устройство в Интернете. сети вещей. Он генерирует код на основе этого устройства. MFA также будет подвергаться тем же обычным обходам, что и 2fa, поэтому требуется, чтобы его архитектура была изменена, чтобы сделать ее более безопасной.

Заключение
Двухфакторная аутентификация, несмотря на все ее уязвимости, по-прежнему остается лучшим подходом к защите учетных записей пользователей в обычных веб-приложениях. Однако это не означает, что обсуждаемые обходные пути не следует принимать во внимание. Веб-разработчикам следует внимательно изучить двухфакторные механизмы аутентификации на своем веб-сайте, чтобы гарантировать, что обычные методы обхода не работают. Однако время от времени могут возникать обходы двухфакторной аутентификации, и в таких атаках могут быть задействованы различные методы, единственный способ - продолжать повторять собственный подход к тестированию двухфакторной аутентификации, таким образом легко предсказать методологию злоумышленника.