Twee-factor-authenticatie kan worden overtroffen, zoals een hacker-demo heeft laten zien. Er wordt veel aandacht besteed aan een video waarin Kevin Mitnick, BekendeBe4 Chief Hacking Officer, onthulde de tweefactorexploitatie.

Twee-factor-authenticatie is "een extra beveiligingslaag die iets vereist dat een werknemer HEEFT en iets wat hij WEET."

"De kern van de aanval komt in een phishing-e-mail, in dit geval, een naar verluidt verzonden door LinkedIn, naar een lid dat aangeeft dat iemand contact met hen probeert te maken op dat sociale netwerk, " zei Doug Olenick, SC Magazine .

De gebruiker krijgt een valse inlogpagina. De aanvalsmethode wordt in veiligheidstermen beschreven als een phishing-techniek voor inloggegevens, waarvoor het gebruik van een typo-kraakdomein vereist is. Het idee is om de gebruiker zijn/haar inloggegevens te laten weggeven. Een bevriende white hat-hacker van Kevin ontwikkelde de tool die is ontworpen om tweefactorauthenticatie te omzeilen.

Wat wordt bij dit soort aanvallen bedoeld met een typo-kraakdomein? Het is een truc, en het "hurken" weerspiegelt hoe het cybersquats is op een andere entiteit. Internetgebruikers die het opzettelijk onjuist geletterde adres met de typografische foutinstallatie gebruiken, kunnen naar een door een hacker gerunde alternatieve website worden geleid.

Mitnick liet zien hoe dit allemaal werkt, bij het inloggen op zijn gmail-account, via een nep Linked-In e-mail.

Matthew Humphries, PCMag 's in het Verenigd Koninkrijk gevestigde redacteur en nieuwsverslaggever, zei in de aanval, een e-mail lijkt ok met betrekking tot de website die wordt getarget, "zodat de ontvanger niet de tijd neemt om te controleren vanaf welk domein het is verzonden."

Op dit moment, de e-mail was van llnked.com in plaats van linkedin.com - gemakkelijk te missen als je niet op zoek bent naar valse come-ons. Door op de knop "Geïnteresseerd" in de e-mail te klikken, wordt de gebruiker naar een website geleid die er precies zo uitziet als de LinkedIn-inlogpagina. Globaal genomen, Mitnick liet zien dat het niet zo moeilijk was om gewoon door te gaan en de details van een LinkedIn-gebruiker te achterhalen, "gewoon door ze om te leiden naar een website die op LinkedIn lijkt en 2FA tegen hen te gebruiken om hun inloggegevens en toegang tot de site te stelen, ' zei Humphries.

De demo gebruikte LinkedIn als voorbeeld, maar het kan worden gebruikt op Google, Facebook, en al het andere met twee-factor login; rapporten zeiden dat de tool zou kunnen worden "bewapend" voor zowat elke website.

interessant, het was vorig jaar toen Russell Brandom zei in De rand dat het "tijd was om eerlijk te zijn over de limieten" met betrekking tot tweefactorauthenticatie. Brandom vertelde hoe de belofte van two-factor al vroeg begon te ontrafelen met kattenkwaad die er omheen kwamen. Hij zei, "het is duidelijk geworden dat de meeste tweefactorsystemen niet bestand zijn tegen geavanceerde gebruikers."

Niettemin, hij zei, in de meeste gevallen, het probleem is zelf niet tweeledig. Het is "alles eromheen. Als je iets kunt doorbreken naast die tweeledige login - of het nu het accountherstelproces is, vertrouwde apparaten, of de onderliggende rekening van de provider - dan ben je vrij thuis."

Een voor de hand liggend advies, echter, werd aangeboden en dat is waakzaam zijn over links. Ook, een perspectief op wat tweefactorauthenticatie is en niet is nuttig. Het is een strakkere oplossing dan een basismechanisme voor alleen wachtwoorden. Het is een extra beveiligingslaag. Maar als Stu Sjouwerman, Directeur , KnowBe4, verklaarde:. "Twee-factor-authenticatie is bedoeld als een extra beveiligingslaag, maar in dit geval we zien duidelijk dat je er niet alleen op kunt vertrouwen om je organisatie te beschermen."

© 2018 Tech Xplore