双因素认证,必要但不足以安全

由Pierluigi Paganini,主编,CDM

2013年5月31日,上午11:30

采用双因素身份验证过程是为了增加认证过程的稳健性,但安全性是一个必须在360度固化的过程。

推特 最终部署了双因素身份验证以提高用户帐户的安全性,这是流行社交网络对各种事件的响应发生在其中一些主要客户  AP媒体 .

双因素 验证 Twitter实现的进程是基于SMS的,将使安全措施能够在登录阶段期间输入密码,然后是随后的六位数访问代码。短代码通过短信发送给用户的移动制作更加困难的账户的黑客,实际上需要具有帐户的用户名和密码,并且还需要访问用户的用户的移动注册为两个 - 因子认证。

当然,在部署双因素认证过程时,可以考虑某些副作用和漏洞。

在这篇文章中,我试图从两个真正的最近案例开始解释它们:

滥用双因素身份验证过程以锁定用户的帐户

可以滥用双因素身份验证功能来锁定客户的用户。根据F-Secure专家,攻击者可以在未启用双因素身份验证时锁定用户的Twitter帐户。

安全顾问  F-Secure. Sean Sullivan展示了攻击者实际上可以滥用这一功能,延长他们未经授权的账户访问唐’T启用了双因素身份验证。

如果攻击者能够获取用户的凭据,例如用a 网络钓鱼攻击 或任何其他社会工程技术,他可以将预付电话号码与人联系起来’S帐户并启用双因素身份验证。如果黑客成功与预付电话号码联合,则受害者赢了’T能够通过密码重置恢复帐户,并将强制联系Twitter支持服务。

该过程中的缺陷是缺少添加数字所需的确认代码。 (确认需要更改帐户’S相关电子邮件地址。)这是受害者将看到的 - 即使他们重置帐户’s password.

 推特

当双因素身份验证时“Account Security”选项首次启用“帐户设置”页面上首次启用,Twitter询问用户如果他们成功收到了发送到手机的测试消息。用户只需单击““yes,” even if they didn’T通过Sullivan在POST中显示的消息。

“相反,Twitter应该将确认链接发送到与帐户所有者的帐户相关联的电子邮件地址,以便确认应该启用双因素身份验证,Sullivan表示。”

这种类型的攻击可能被滥用以延长受害者无法访问受损账户的时间。与Twitter实现的双因素身份验证的实际实现有关的另一个问题与在多个站点上的地理上分布的这些组织有关,并允许在不同的员工管理到不同的员工。在这种情况下,他们无法共享一个用于身份验证的单个电话号码。

意识到恶意软件

这是我愿意讨论的第二个案例。尽管双因素认证为用户的帐户引入了另一种保护级别,但专制的恶意软件可以避开已在各种情况下发生的机制  银行业 .

例如,它已被公布与新的新闻相关  安卓  特洛伊木马能够逃避双因素身份验证功能。如果恶意代码能够拦截以通过将其转发到攻击者的SMS将其转发到攻击者发送的安全代码,则可能会使验证过程进行不安全的主验证过程。

最近,俄罗斯杀毒公司Dr.Web检测了一个  木马  这将作为一个安全证书传播,使用户致以思考它必须安装在其设备上,一旦安装了恶意软件,除了显示邮件陈述以外的其他内容“成功安装的证书,现在保护您的设备。”
静默于恶意软件收集发送到命令和控制服务器的移动信息(例如IMEI,模型,载波,电话号码,操作系统)。

此时,攻击者可以指示移动设备从指定的发件人拦截和转发SMS,例如在双重身份验证方案中,以这种方式,恶意软件可以捕获OUT BANK或Twitter克服2步认证功能的认证码。

我们学到了什么?

采用额外的身份验证因素是增加认证过程的安全性的必要条件,但安全性是必须在360度固化的过程。

(来源:CDM& 安全事务 – 安全性,双因素身份验证)

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请