Potresti pensare che abilitare l'autenticazione a due fattori sul tuo account lo renda sicuro al 100%. L'autenticazione a due fattori^{(Two-factor authentication)} è uno dei metodi migliori per proteggere il tuo account. Ma potresti essere sorpreso di sapere che il tuo account può essere dirottato nonostante abiliti l'autenticazione a due fattori. In questo articolo, ti spiegheremo i diversi modi in cui gli aggressori possono aggirare l'autenticazione a due fattori.

Come gli hacker possono aggirare l'autenticazione a due fattori

Che cos'è l' autenticazione^{(Authentication)} a due fattori (2FA)?

Prima di iniziare, vediamo cos'è la 2FA. Sai che devi inserire una password per accedere al tuo account. Senza la password corretta, non puoi accedere. 2FA è il processo di aggiunta di un ulteriore livello di sicurezza al tuo account. Dopo averlo abilitato, non puoi accedere al tuo account inserendo solo la password. Devi completare un altro passaggio di sicurezza. Ciò significa che in 2FA, il sito Web verifica l'utente in due passaggi.

Leggi^(Read) : Come abilitare la verifica in due passaggi nell'account Microsoft^{(How to Enable 2-step Verification in Microsoft Account)} .

Come funziona 2FA?

Comprendiamo il principio di funzionamento dell'autenticazione a due fattori. La 2FA richiede di verificarti due volte. Quando inserisci nome utente e password, verrai reindirizzato a un'altra pagina, dove devi fornire una seconda prova che sei la persona reale che tenta di accedere. Un sito Web può utilizzare uno dei seguenti metodi di verifica:

OTP (password una tantum)

Bypassa l'autenticazione a due fattori OTP

Dopo aver inserito la password, il sito ti dice di verificarti inserendo la OTP inviata sul tuo numero di cellulare registrato. Dopo aver inserito l' OTP^(OTP) corretto , puoi accedere al tuo account.

Notifica immediata

Ignora la notifica del prompt di autenticazione a due fattori

La notifica rapida viene visualizzata sullo smartphone se è connesso a Internet. Devi verificarti toccando il pulsante " Sì^(Yes) ". Successivamente, verrai registrato nel tuo account sul tuo PC.

Codici di backup

Ignora il codice di backup dell'autenticazione a due fattori

I codici di backup^(Backup) sono utili quando i due metodi di verifica precedenti non funzionano. Puoi accedere al tuo account inserendo uno qualsiasi dei codici di backup che hai scaricato dal tuo account.

App autenticatore

Ignora l'app di autenticazione a due fattori

In questo metodo, devi connettere il tuo account con un'app di autenticazione. Ogni volta che vuoi accedere al tuo account, devi inserire il codice visualizzato sull'app di autenticazione installata sul tuo smartphone.

Esistono molti altri metodi di verifica che un sito Web può utilizzare.

Leggi^(Read) : Come aggiungere la verifica in due passaggi al tuo account Google^{(How To Add Two-step Verification To Your Google Account)} .

Come gli hacker possono aggirare l'autenticazione a due fattori^{(Two-factor Authentication)}

Indubbiamente, 2FA rende il tuo account più sicuro. Ma ci sono ancora molti modi in cui gli hacker possono aggirare questo livello di sicurezza.

1] Furto di cookie^{(Cookie Stealing)} o dirottamento di sessione^{(Session Hijacking)}

Il furto di cookie o il dirottamento della sessione^{(Cookie stealing or session hijacking)} è il metodo per rubare il cookie di sessione dell'utente. Una volta che l'hacker riesce a rubare il cookie di sessione, può facilmente aggirare l'autenticazione a due fattori. Gli aggressori conoscono molti metodi di dirottamento, come la fissazione della sessione, lo sniffing della sessione, lo scripting cross-site, l'attacco malware, ecc. Evilginx è tra i framework popolari che gli hacker utilizzano per eseguire un attacco man-in-the-middle. In questo metodo, l'hacker invia un collegamento di phishing all'utente che lo porta a una pagina di accesso del proxy. Quando l'utente accede al proprio account utilizzando 2FA, Evilginx acquisisce le sue credenziali di accesso insieme al codice di autenticazione. Dal momento che l' OTPscade dopo averlo utilizzato ed è valido anche per un determinato periodo di tempo, non serve acquisire il codice di autenticazione. Ma l'hacker ha i cookie di sessione dell'utente, che può utilizzare per accedere al suo account e bypassare l'autenticazione a due fattori.

2] Generazione di codice duplicato

Se hai utilizzato l' app Google Authenticator , sai che genera nuovi codici dopo un determinato periodo di tempo. Google Authenticator e altre app di autenticazione funzionano su un particolare algoritmo. I generatori di codici casuali^(Random) generalmente iniziano con un valore seed per generare il primo numero. L'algoritmo utilizza quindi questo primo valore per generare i valori di codice rimanenti. Se l'hacker è in grado di comprendere questo algoritmo, può facilmente creare un codice duplicato e accedere all'account dell'utente.

3] Forza bruta

Brute Force è una tecnica per generare tutte le possibili combinazioni di password. Il tempo per decifrare una password usando la forza bruta dipende dalla sua lunghezza. Più lunga è la password, più tempo ci vorrà per decifrarla. Generalmente, i codici di autenticazione sono lunghi da 4 a 6 cifre, gli hacker possono provare un tentativo di forza bruta per aggirare il 2FA. Ma oggi, il tasso di successo degli attacchi di forza bruta è inferiore. Questo perché il codice di autenticazione rimane valido solo per un breve periodo.

4] Ingegneria sociale

L'ingegneria sociale è la tecnica con cui un utente malintenzionato tenta di ingannare la mente dell'utente e lo costringe a inserire le sue credenziali di accesso su una pagina di accesso falsa. Indipendentemente dal fatto che l'attaccante conosca o meno il tuo nome utente e password, può ignorare l'autenticazione a due fattori. Come? Vediamo:

Consideriamo il primo caso in cui l'attaccante conosce il tuo nome utente e password. Non può accedere al tuo account perché hai abilitato 2FA. Per ottenere il codice, può inviarti un'e-mail con un collegamento dannoso, creando in te il timore che il tuo account possa essere violato se non intraprendi un'azione immediata. Quando fai clic su quel link, verrai reindirizzato alla pagina dell'hacker che imita l'autenticità della pagina web originale. Una volta inserito il passcode, il tuo account verrà violato.

Ora, prendiamo un altro caso in cui l'hacker non conosce il tuo nome utente e password. Anche^(Again) in questo caso, in questo caso, ti invia un link di phishing e ruba il tuo nome utente e password insieme al codice 2FA.

5] OAuth

L'integrazione di OAuth^(OAuth) offre agli utenti la possibilità di accedere al proprio account utilizzando un account di terze parti. È un'applicazione Web rinomata che utilizza i token di autorizzazione per dimostrare l'identità tra gli utenti e i fornitori di servizi. Puoi considerare OAuth un modo alternativo per accedere ai tuoi account.

Un meccanismo OAuth funziona nel modo seguente:

Il sito A richiede al sito B^{(Site B)} (es . Facebook ) un token di autenticazione.
Il sito B^{(Site B)} considera che la richiesta è generata dall'utente e verifica l'account dell'utente.
Il sito B^{(Site B)} invia quindi un codice di richiamata e consente all'attaccante di accedere.

Nei processi di cui sopra, abbiamo visto che l'attaccante non ha bisogno di verificarsi tramite 2FA. Ma affinché questo meccanismo di bypass funzioni, l'hacker dovrebbe avere il nome utente e la password dell'account dell'utente.

Questo è il modo in cui gli hacker possono aggirare l'autenticazione a due fattori dell'account di un utente.

Come prevenire il bypass 2FA?

Gli hacker possono infatti aggirare l'autenticazione a due fattori, ma in ogni metodo hanno bisogno del consenso degli utenti che ottengono ingannandoli. Senza ingannare gli utenti, non è possibile bypassare 2FA. Pertanto^(Hence) , dovresti occuparti dei seguenti punti:

Prima di fare clic su qualsiasi collegamento, verificarne l'autenticità. Puoi farlo controllando l'indirizzo email del mittente.
Crea una password complessa^{(Create a strong password)} che contenga una combinazione di alfabeti, numeri e caratteri speciali.
Utilizza^(Use) solo app di autenticazione originali, come Google Authenticator, Microsoft Authenticator, ecc.
Scarica^(Download) e salva i codici di backup in un luogo sicuro.
Non fidarti mai delle e-mail di phishing che gli hacker utilizzano per ingannare la mente degli utenti.
Non condividere i codici di sicurezza con nessuno.
Imposta^(Setup) la chiave di sicurezza sul tuo account, un'alternativa alla 2FA.
Continua a cambiare la tua password regolarmente.

Leggi^(Read) : Suggerimenti per tenere gli hacker lontani dal tuo computer Windows^{(Tips to Keep Hackers out of your Windows computer)} .

Conclusione

L'autenticazione a due fattori è un livello di sicurezza efficace che protegge il tuo account dal dirottamento. Gli hacker vogliono sempre avere la possibilità di aggirare la 2FA. Se sei a conoscenza di diversi meccanismi di hacking e modifichi regolarmente la tua password, puoi proteggere meglio il tuo account.

How Hackers can get around Two-factor Authentication

Υоu may think that enabling two-factor authentication on your account makes it 100% secure. Two-factor authentication is among the best methods to protect your account. But you may be surprised to hear that your account can be hijacked despite enabling two-factor authentication. In this article, we will tell you the different ways by which attackers can bypass two-factor authentication.

What is Two-factor Authentication (2FA)?

Before we begin, let’s see what 2FA is. You know that you have to enter a password to log into your account. Without the correct password, you cannot log in. 2FA is the process of adding an extra security layer to your account. After enabling it, you cannot log into your account by entering the password only. You have to complete one more security step. This means in 2FA, the website verifies the user in two steps.

Read: How to Enable 2-step Verification in Microsoft Account.

How Does 2FA Work?

Let’s understand the working principle of two-factor authentication. The 2FA requires you to verify yourself two times. When you enter your username and password, you will be redirected to another page, where you have to provide a second proof that you are the real person trying to log in. A website can use any of the following verification methods:

OTP (One Time Password)

Bypass Two-factor Authentication OTP

After entering the password, the website tells you to verify yourself by entering the OTP sent on your registered mobile number. After entering the correct OTP, you can log into your account.

Prompt Notification

Bypass Two-factor Authentication Prompt Notification

Prompt notification is displayed on your smartphone if it is connected to the internet. You have to verify yourself by tapping on the “Yes” button. After that, you will be logged into your account on your PC.

Backup Codes

Bypass Two-factor Authentication Backup Code

Backup codes are useful when the above two methods of verification won’t work. You can log into your account by entering any one of the backup codes you have downloaded from your account.

Authenticator App

Bypass Two-factor Authentication Authenticator App

In this method, you have to connect your account with an authenticator app. Whenever you want to log into your account, you have to enter the code displayed on the authenticator app installed on your smartphone.

There are several more methods of verification that a website can use.

Read: How To Add Two-step Verification To Your Google Account.

How Hackers can get around Two-factor Authentication

Undoubtedly, 2FA makes your account more secure. But there are still many ways by which hackers can bypass this security layer.

1] Cookie Stealing or Session Hijacking

Cookie stealing or session hijacking is the method of stealing the session cookie of the user. Once the hacker gets success in stealing the session cookie, he can easily bypass the two-factor authentication. Attackers know many methods of hijacking, like session fixation, session sniffing, cross-site scripting, malware attack, etc. Evilginx is among the popular frameworks that hackers use to perform a man-in-the-middle attack. In this method, the hacker sends a phishing link to the user that takes him to a proxy login page. When the user logs into his account using 2FA, Evilginx captures his login credentials along with the authentication code. Since the OTP expires after using it and also valid for a particular time frame, there is no use in capturing the authentication code. But the hacker has the user’s session cookies, which he can use to log into his account and bypass the two-factor authentication.

2] Duplicate Code Generation

If you have used the Google Authenticator app, you know that it generates new codes after a particular time. Google Authenticator and other authenticator apps work on a particular algorithm. Random code generators generally start with a seed value to generate the first number. The algorithm then uses this first value to generate the remaining code values. If the hacker is able to understand this algorithm, he can easily create a duplicate code and log into the user’s account.

3] Brute Force

Brute Force is a technique to generate all the possible password combinations. The time for cracking a password using brute force depends on its length. The longer the password is, the more time it takes to crack it. Generally, the authentication codes are from 4 to 6 digits long, hackers can try a brute force attempt to bypass the 2FA. But today, the success rate of brute force attacks is less. This is because the authentication code remains valid only for a short period.

4] Social Engineering

Social Engineering is the technique in which an attacker tries to trick the user’s mind and forces him to enter his login credentials on a fake login page. No matter whether the attacker knows your username and password or not, he can bypass the two-factor authentication. How? Let’s see:

Let’s consider the first case in which the attacker knows your username and password. He cannot log into your account because you have enabled 2FA. To get the code, he can send you an email with a malicious link, creating a fear in you that your account can be hacked if you do not take immediate action. When you click on that link, you will be redirected to the hacker’s page that mimics the authenticity of the original webpage. Once you enter the passcode, your account will be hacked.

Now, let’s take another case in which the hacker does not know your username and password. Again, in this case, he sends you a phishing link and steals your username and password along with the 2FA code.

5] OAuth

OAuth integration provides users with a facility to log into their account using a third-party account. It is a reputed web application that uses authorization tokens to prove identity between the users and service providers. You can consider OAuth an alternate way to log into your accounts.

An OAuth mechanism works in the following way:

Site A requests Site B (e.g. Facebook) for an authentication token.
Site B considers that the request is generated by the user and verifies the user’s account.
Site B then sends a callback code and lets the attacker sign in.

In the above processes, we have seen that the attacker does not require to verify himself via 2FA. But for this bypass mechanism to work, the hacker should have the user’s account username and password.

This is how hackers can bypass the two-factor authentication of a user’s account.

How to prevent 2FA bypassing?

Hackers can indeed bypass the two-factor authentication, but in each method, they need the users’ consent which they get by tricking them. Without tricking the users, bypassing 2FA is not possible. Hence, you should take care of the following points:

Before clicking on any link, please check its authenticity. You can do this by checking the sender’s email address.
Create a strong password that contains a combination of alphabets, numbers, and special characters.
Use only genuine authenticator apps, like Google authenticator, Microsoft authenticator, etc.
Download and save the backup codes at a safe place.
Never trust phishing emails that hackers use to trick the users’ minds.
Do not share security codes with anyone.
Setup security key on your account, an alternative to 2FA.
Keep changing your password regularly.

Read: Tips to Keep Hackers out of your Windows computer.

Conclusion

Two-factor authentication is an effective security layer that protects your account from hijacking. Hackers always want to get a chance to bypass 2FA. If you are aware of different hacking mechanisms and change your password regularly, you can protect your account better.

Martina Caputo

About the author

Dopo quasi 20 anni nel settore della tecnologia, ho imparato molto sui prodotti Apple e su come personalizzarli per le mie esigenze. In particolare, so utilizzare la piattaforma iOS per creare aspetti personalizzati e interagire con i miei utenti tramite le preferenze dell'applicazione. Questa esperienza mi ha fornito preziose informazioni su come Apple progetta i suoi prodotti e su come migliorare al meglio la loro esperienza utente.

Come gli hacker possono aggirare l'autenticazione a due fattori

Che cos'è l' autenticazione(Authentication) a due fattori (2FA)?

Come funziona 2FA?

OTP (password una tantum)

Notifica immediata

Codici di backup

App autenticatore

Come gli hacker possono aggirare l'autenticazione a due fattori(Two-factor Authentication)

1] Furto di cookie(Cookie Stealing) o dirottamento di sessione(Session Hijacking)

2] Generazione di codice duplicato

3] Forza bruta

4] Ingegneria sociale

5] OAuth

Come prevenire il bypass 2FA?

Conclusione

How Hackers can get around Two-factor Authentication

What is Two-factor Authentication (2FA)?

How Does 2FA Work?

OTP (One Time Password)

Prompt Notification

Backup Codes

Authenticator App

How Hackers can get around Two-factor Authentication

1] Cookie Stealing or Session Hijacking

2] Duplicate Code Generation

3] Brute Force

4] Social Engineering

5] OAuth

How to prevent 2FA bypassing?

Conclusion

Martina Caputo

About the author

Related posts

Come abilitare Two-Factor Authentication in Discord

Come impostare correttamente le opzioni di ripristino e backup per l'autenticazione a due fattori

Come installare Drupal utilizzando WAMP su Windows

Best Software & Hardware Bitcoin Wallets per Windows, iOS, Android

Setup Internet Radio Station GRATIS su Windows PC

Microsoft Identity Manager: Caratteristiche, Download

Come utilizzare Template per creare un documento con LibreOffice

Automate.io è un'alternativa gratuita automation tool and IFTTT

Come creare Self-firmato SSL Certificates in Windows 10

Zip file è troppo grande errore quando si scaricano file da DropBox

Come installare Windows 95 su Windows 10

Video Confernia etichetta, consigli e regole che devi seguire

Best Laptop Backpacks per Men and Women

Cosa sono virtuali Credit Cards e come e dove li prendi?

L'app di messaggistica della sessione offre una forte sicurezza; No phone Numero richiesto!

Cos'è Silly Window Syndrome - Explanation and Prevention

Bloccato da Plex Server and Server Settings? Ecco la soluzione!

Porta il tuo Device (BYOD) Advantages, Best Practices, ecc

Cos'è uno Magnet link e come aprire Magnet link S in un browser

Best Laptop Tables per acquistare online

Che cos'è l' autenticazione^{(Authentication)} a due fattori (2FA)?

Come gli hacker possono aggirare l'autenticazione a due fattori^{(Two-factor Authentication)}

1] Furto di cookie^{(Cookie Stealing)} o dirottamento di sessione^{(Session Hijacking)}