Можно ли обойти двухфакторную аутентификацию

Категория: Безопасность / Интернет / Учётные записи и пароли
Добавил: access_timeОпубликовано: 12-08-2023 visibilityПросмотров: 1 364 chat_bubble_outlineКомментариев: 4
Можно ли обойти двухфакторную аутентификацию


В этой публикации, друзья, поговорим об одном из нюансов безопасности - можно ли обойти двухфакторную аутентификацию. Таковая считается эффективным способом защиты аккаунтов в Интернете. Уберегает их от взлома и его негативных последствий - кража данных, денег, самих аккаунтов с нанесением удара по репутации или перекрытием источника дохода. Но, увы, двухфакторная аутентификация не является 100%-ным гарантом безопасности аккаунта. Хакеры могут обходить двухфакторную защиту. Что такое двухфакторная аутентификация, какие имеет уязвимости, и как, если не полностью избавиться от рисков, то хотя бы снизить их?


Можно ли обойти двухфакторную аутентификацию


Двухфакторная аутентификация

Двухфакторная аутентификация, она же двухэтапная аутентификация, она же двухфакторная или двухэтапная авторизация, она же двухфакторная или двухэтапная верификация, и она же 2FA – это способ защиты аккаунтов сайтов, сервисов и приложений, требующий от пользователя ввести не только логин и пароль, но ещё пройти второй этап аутентификации. Обычно это ввод проверочного кода доступа. Этот код может:

  • Приходить на мобильный телефон в SMS;
  • Приходить на электронную почту;
  • Предоставляться с помощью автоматического дозвона. Нам поступает звонок, и мы должны в процессе звонка у себя на телефоне ввести продиктованную цифру или код с сайта. Либо нам поступает звонок, и мы должны на сайте или в приложении ввести последние 4 цифры номера, с которого нам звонили. Самый простой вариант - робот диктует непосредственно проверочный код;
  • Генерироваться приложением-аутентификатором или аппаратным аутентификатором;
  • В случае с мессенджерами поступать в сообщении от администрации на другое доверенное устройство.

Вторым этапом аутентификации также может быть ввод номера банковской карты, кодовой фразы, PIN-кода, ответа на секретный вопрос. Либо может быть аутентификация с помощью биометрических данных.



Такой второй этап авторизации позволяет сделать вход в аккаунт более безопасным. Если даже наши логины и пароли от сайтов и приложений попадут в руки злоумышленников в результате утечки данных, перехвата трафика, брутфорса, социальной инженерии, фишинга, работы программ-шпионов, либо иных методов воровства пользовательских аккаунтов, злоумышленники не смогут попасть в аккаунт, уткнувшись во второй этап авторизации. Ведь для его прохождения им потребуется то, что есть у нас, в частности, телефон.

Двухфакторная аутентификация есть у сайтов и приложений сервисов больших компаний – Google, Microsoft, Apple, Яндекс и т.п. Есть у сайтов и приложений многих социальных площадок - ВК, TikTok, Facebook, Instagram, Zoom, Twitch, GitHub и т.д. Это примеры, где двухфакторная аутентификация предусматривается, её можно включить в настройках аккаунта, но изначально она не включена и не требуется в обязательном порядке. В платёжных и банковских системах, мессенджерах типа Telegram, WhatsApp, Viber двухфакторная аутентификация является обязательной.

Конечно, второй этап аутентификации усложняет хакерам доступ к пользовательским аккаунтам. Но двухфакторная аутентификация имеет свои уязвимости.


Уязвимости способов двухфакторной аутентификации

Самый надёжный способ двухфакторной аутентификации – проверка биометрических данных. Отпечатки пальцев, распознавание лица или голоса - это уникальные и неизменные характеристики каждого человека, которые сложно подделать или скопировать. Биометрическая аутентификация может быть подвержена ошибкам из-за плохого качества сенсоров или изменения внешности пользователя. Значимый её недостаток - доступна не для всех сайтов и приложений.

Надёжны аппаратные аутентификаторы - аппаратные устройства, выполняющие действие токена безопасности или верификатора личности. Это могут быть токены, USB-ключи безопасности, смарт-карты и т.п. Аппаратные аутентификаторы защищают от различных видов атак, таких как фишинг, кража паролей, подмена SIM-карты. Недостатки аппаратные аутентификаторов - могут быть потеряны или повреждены. Двухфакторная аутентификация с их использованием также доступна не для всех сайтов и приложений.



Самые уязвимые способы двухфакторной аутентификации - кодовая фраза, номер банковской карты, PIN-код, ответ на секретный вопрос. Эти данные могут быть угаданы, перехвачены или украдены злоумышленниками. Кроме того, кодовую фразу, PIN-код или ответ на секретный вопрос мы сами можем забыть. По возможности такие способы лучше не использовать в качестве второго фактора авторизации.

Оптимальные в плане удобства, доступности и обеспечения безопасности способы двухфакторной аутентификации – проверочные коды доступа. Поддерживаются многими сайтами. Их уязвимость – могут быть перехвачены.


Как перехватываются проверочные коды доступа

Перехват проверочных кодов доступа двухфакторной аутентификации возможен такими способами как:

  • Подмена SIM-карты. Злоумышленник может обратиться в салон мобильного оператора и попросить выдать ему новую SIM-карту с номером жертвы, предъявив поддельные документы или убедив оператора в своей личности. Тогда все звонки и SMS, которые должны прийти на телефон жертвы, будут приходить на телефон злоумышленника;
  • Взлом протокола SS7. SS7 - это протокол, используемый для передачи голосовых и текстовых сообщений между мобильными операторами. Он имеет ряд уязвимостей, позволяющих хакерам перехватывать и перенаправлять трафик между номерами телефонов. Таким образом злоумышленник может получить доступ к SMS-сообщениям жертвы, не имея физического доступа к её телефону;
  • Шпионское приложение. Злоумышленник, используя фишинг или имея физический доступ к смартфону жертвы, может установить на него шпионское приложение. Оно будет скрытно перехватывать проверочные коды в SMS или приложении, генерирующем эти коды. И пересылать эти коды на удалённый сервер или номер телефона злоумышленника.


Как защититься от перехвата проверочных кодов доступа

За неимением возможности использовать максимально надёжные способы двухфакторной аутентификации – проверку биометрических данных и аппаратные аутентификаторы – у нас, друзья, особого и выбора то нет. Всё же лучше проверочные коды доступа, чем более уязвимые способы двухфакторной аутентификации, либо не использовать второй этап авторизации вовсе. Улучшить ситуацию можно, если снизить риски при использовании проверочных кодов доступа:

  • По возможности использовать получение проверочного кода доступа не на почту и по SMS, а путём автоматического дозвона или с помощью приложений-аутентификаторов Microsoft Authenticator, Google Authenticator, Яндекс.Ключ, FreeOTP, Cisco Duo Mobile и т.п.;
  • Использовать на смартфоне антивирусные приложения;
  • Установить блокировку экрана на смартфоне, не давать смартфон сторонним лицам, не оставлять его без присмотра. Злоумышленником может быть кто-то из нашего близкого окружения, он может поджидать возможности установить на смартфон приложение-шпион;

tagsКлючевые слова
     Рекомендуем другие статьи по данной теме
Ctrl
Enter
Заметили ошибку
Выделите и нажмите Ctrl+Enter

Добавить комментарий

Комментарии (4)

  1. img
    15 ноября 2023 22:19 Гость Алексей
    Гость

    В части возможностей по перехвату временного кода, а фактически, по возможности угонщику аккаунта выдать себя за его владельца, написано почти верно. В связи с тем, что мобильные операторы теперь занимаются некой проверкой паспортных данных в их базе и где-то ещё, они собирают фотографии страниц паспортов и складывают их в своей базе. Все данные утекают: это именно закон, просто потому что так устроены люди, и потому что 70% всех утечек составляют инсайдерские, т.е. изнутри самой компании. Так вот благодаря фотографиям страниц паспорта теперь угонщику аккаунта намного проще его клонировать. Мало того, теперь у него есть фотография в паспорте владельца, чтобы клонировать и лицо тоже. Если это кажется фантастикой, то почему никого не удивляет современная многомерная печать и функционирование систем распознавания лиц? Изготавливается маска, оттачивается и отлаживается на системах распознавания лиц и обычных людях. И вот уже такой фактор, как уникальность паспорта перестала работать.

    Тоже самое происходит и с биометрическими данными. Для сравнения предоставленных биометрических данных с эталоном они требуются в исходном, чистом виде. Т.е. к ним нельзя применить функцию хэширования, как в случае с паролями, чтобы не передавать пароли вообще, а только их образ, по которому невозможно выяснить исходный. Из закона, что все данные утекают, следует, что однажды биометрические данные точно также утекут и будут клонироваться для получения доступа. Однако их заменить или изменить уже не получится по объективным причинам.

    Главную проблему 2FA автор не озвучил. А именно -- это электронный поводок с ошейником на пользователе, т.к. 2FA требует для своего функционирования определённых условий. Мобильные ОС и приложения устроены так, что без наличия мобильной связи они не предоставляют пользователю доступ ко всей функциональности. Так что наличия исключительно Интернета недостаточно для прохождения 2FA: требуются все условия, которые далеко не всегда выполнены. Если посчитать площадь, где такие условия действуют, то её доля по отношению ко всей площади Земли, также ещё и космоса (там тоже есть Интернет) окажется пренебрежительно мала. Именно это и означает, что 2FA является поводком. Дальше его начнут укорачивать и дёргать за него, потому что единственное, что нужно тем, у кого есть власть -- это больше власти: прежней дозы им быстро становится мало, и не даёт первоначального наслаждения. И это именно поводок, потому что вместе с 2FA записывается местоположение пользователя.

    Теперь хранение смартфона или телефона в сейфе не убережёт от угона аккаунта, разве что от повреждения телефона и или его поломки. Это ещё и одно из условий доступа, ещё одна часть электронного поводка. Фактически, это тот же арест, только доступная зона передвижения и перечень действий пока что значительно больше, чем у "домашнего" ареста с электронным браслетом. И самое ужасное в этом то, что люди добровольно-принудительно приняли 2FA, т.е. без суда и следствия надели на себя этот электронный браслет с поводком. Если они так легко расстались со своей свободой и безопасностью, то нужна ли она вообще им? Может и правильно, что их эксплуатируют, и это просто заложено в них природой?

    Аккаунт больше не принадлежит пользователю: получит он к нему доступ или нет теперь решают анонимные разработчики за маской бренда и сервиса. И им ничего не будет за отказ. Отказ в доступе к аккаунту самому же владельцу в нужный момент -- именно та реальная и постоянно действующая угроза, которую создала 2FA и её адепты. Избавиться от неё теперь возможно лишь избавив себя от использования сервисов с 2FA. И это стоит сделать хотя бы потому, что за 2FA приходится платить: за мобильную связь, чтобы телефон не заблокировали, за доступность остальных условий, требующихся для прохождения 2FA.

    А какой смысл платить за ресурс, который не контролируешь? Уж лучше тогда платить за то, что контролируешь: за другой сервис, за другую функциональность, за доступ к ним на собственных условиях, а не навязанных и меняемых по очередному модному веянию в области игроков в безопасность (именно игроков, фанатиков, адептов, сектантов, а не профессионалов, иначе бы они не поступали так). И это не так сложно обеспечить: свой IP-адрес, свой домен, свой сервер, свои сервисы на нём, свои правила безопасности. Без безопасников, без Гугла и Яндекса как ключевых надзирателей, посадивших пользователей на электронные поводки. Осталось лишь подготовить полный пакет функциональности и продавать. Самое главное в этом то, что пока не предоставляется доступ третьим лицам, то нет необходимости проводить аутентификацию по номеру телефона и адресу электропочты. А значит можно использовать намного более профессиональные средства и меры для безопасности и аутентификации и получать доступ к своим ресурсам из любой точки мира, где есть лишь Интернет. И не кормить больше мобильных операторов и жирных котов типа Гугла и Яндекса за контрафакт вместо безопасности и надёжности.

    Цитировать replyОтветить
  2. img
    25 августа 2023 10:56 admin
    Администратор

    В Google Pay перейдите в раздел "Платежи и подписки" ->"Способы оплаты" и удалите данные свой карты. 

    Цитировать replyОтветить
  3. img
    25 августа 2023 10:23 Гость Юрий
    Гость

    Здравствуйте! Была необходимость произвести оплату на чужом смартфоне со своей банковской карты с помощью двухфакторной аутентификации, указал данные карты, мне на телефон пришёл код, всё ввёл, оплата прошла. Как теперь удалить данные своей карты на чужом смартфоне?

    Цитировать replyОтветить
  4. img
    14 августа 2023 21:37 user-lb8
    Гость

    Здравствуйте! Не получится в наше время не сообщать свой номер телефона и другие личные данные незнакомым людям. Твой номер знают твои друзья, коллеги по работе и ещё много кто, поэтому я просто храню деньги в сберкассе и при необходимости их отдадут только мне лично. До недавнего времени и смартфон не имел, носил кнопочный телефон, конечно это неудобно, поэтому смартфон всё же приобрёл, но денежные средства на всех картах застраховал от мошенников, это стоит недорого.

    Цитировать replyОтветить