Tvåfaktorsautentisering kan slå, som en hackerdemo har visat. Mycket uppmärksamhet ägnas åt ett videoklipp där Kevin Mitnick, KnownBe4 -chef för hacking, avslöjade tvåfaktorutnyttjandet.

Tvåfaktorsautentisering är "ett extra säkerhetslager som kräver något en anställd HAR och något de VET."

"Kärnan i attacken kommer i ett phishing -mejl, I detta fall, en påstås skickad av LinkedIn, till en medlem som anger att någon försöker få kontakt med dem på det sociala nätverket, "sa Doug Olenick, SC Magazine .

Användaren får en falsk inloggningssida. Angreppsmetoden beskrivs i säkerhetsspråket som en phishing -teknik för autentiseringsuppgifter, som kräver användning av en felstavad domän. Tanken är att låta användaren ge bort sina uppgifter. En vit hathacker-vän till Kevins utvecklade verktyget för att kringgå tvåfaktorsautentisering.

Vad menas med en typfel-hukande domän i denna typ av attack? Det är ett knep, och "hukande" speglar hur det cybersquats på en annan enhet. Internetanvändare som använder den avsiktligt felaktiga adressen med dess typografiska felanläggning kan ledas till en hackerdriven alternativ webbplats.

Mitnick visade hur allt detta fungerar, att logga in på sitt gmail -konto, via en falsk länkad e-post.

Matthew Humphries, PCMag brittisk redaktör och nyhetsreporter, sa i attacken, ett e -postmeddelande verkar ok om webbplatsen som riktas in, "så att mottagaren inte tar sig tid att kontrollera domänen den skickades från."

I det här fallet, e-postmeddelandet var från llnked.com snarare än linkedin.com-lätt att missa om du inte letar efter falska kom-ons. Genom att klicka på knappen "Intresserad" i e -postmeddelandet tar användaren till en webbplats som ser ut som LinkedIn -inloggningssidan. Allt som allt, Mitnick visade att det inte var så svårt att bara gå vidare och ta en LinkedIn -användares detaljer, "helt enkelt genom att omdirigera dem till en webbplats som ser ut som LinkedIn och använda 2FA mot dem för att stjäla deras inloggningsuppgifter och webbplatsåtkomst, sa Humphries.

Demoen använde LinkedIn som ett exempel, men det kan användas på Google, Facebook, och allt annat som innehåller tvåfaktorsinloggning; rapporter sade att verktyget kan "vapenas" för nästan vilken webbplats som helst.

Intressant, det var förra året när Russell Brandom sa in Gränsen att det var "dags att vara ärlig om sina gränser" med hänvisning till tvåfaktorsautentisering. Brandom redogjorde för hur löftet om tvåfaktorer började utvecklas tidigt när olyckstillverkare kom runt det. Han sa, "Det har blivit klart att de flesta tvåfaktorsystem inte står emot sofistikerade användare."

Ändå, han sa, i de flesta fallen, problemet är inte två-faktor i sig. Det är "allt runt det. Om du kan bryta igenom allt intill den tvåfaktorsinloggningen-oavsett om det är processen för återställning av konto, betrodda enheter, eller det underliggande transportkontot - då är du ledig hemma. "

Ett uppenbart råd, dock, erbjöds och det är att vara vaksam på länkar. Också, ett perspektiv på vad tvåfaktorsautentisering är och inte är till hjälp. Det är en hårdare lösning än en grundläggande lösenordsmekanism. Det är ett extra lager av säkerhet. Men som Stu Sjouwerman, vd , KnowBe4, uppgav :. "Tvåfaktorsautentisering är avsedd att vara ett extra lager av säkerhet, men i det här fallet, vi ser tydligt att du inte kan lita på det ensam för att skydda din organisation. "

© 2018 Tech Xplore