Saatat ajatella, että kaksivaiheisen todennuksen ottaminen käyttöön tilissäsi tekee siitä 100 % turvallisen. Kaksivaiheinen todennus^{(Two-factor authentication)} on yksi parhaista tavoista suojata tiliäsi. Mutta saatat yllättyä kuullessani, että tilisi voidaan kaapata, vaikka kaksivaiheinen todennus on käytössä. Tässä artikkelissa kerromme sinulle eri tavoista, joilla hyökkääjät voivat ohittaa kaksivaiheisen todennuksen.

Mikä on kaksivaiheinen todennus^{(Authentication)} (2FA)?

Ennen kuin aloitamme, katsotaanpa mitä 2FA on. Tiedät, että sinun on syötettävä salasana kirjautuaksesi tilillesi. Et voi kirjautua sisään ilman oikeaa salasanaa. 2FA on prosessi, jolla tiliisi lisätään ylimääräinen suojauskerros. Sen käyttöönoton jälkeen et voi kirjautua tilillesi antamalla pelkkä salasana. Sinun on suoritettava vielä yksi suojausvaihe. Tämä tarkoittaa, että 2FA:ssa verkkosivusto vahvistaa käyttäjän kahdessa vaiheessa.

Lue^(Read) : 2-vaiheisen vahvistuksen ottaminen käyttöön Microsoft-tilissä^{(How to Enable 2-step Verification in Microsoft Account)} .

Kuinka 2FA toimii?

Ymmärretään kaksivaiheisen todennuksen toimintaperiaate. 2FA edellyttää, että vahvistat itsesi kaksi kertaa. Kun annat käyttäjätunnuksesi ja salasanasi, sinut ohjataan toiselle sivulle, jossa sinun on annettava toinen todiste siitä, että olet oikea henkilö, joka yrittää kirjautua sisään. Verkkosivusto voi käyttää mitä tahansa seuraavista vahvistusmenetelmistä:

OTP (kertakäyttöinen salasana)

Salasanan syöttämisen jälkeen sivusto kehottaa sinua vahvistamaan itsesi syöttämällä rekisteröityyn matkapuhelinnumeroosi lähetetyn OTP :n. ^(OTP)Kun olet syöttänyt oikean OTP :n , voit kirjautua tilillesi.

Nopea ilmoitus

Älypuhelimessa näkyy ilmoitus, jos se on yhteydessä Internetiin. Sinun on vahvistettava itsesi napauttamalla " Kyllä^(Yes) " -painiketta. Tämän jälkeen kirjaudut sisään tilillesi tietokoneellasi.

Varakoodit

Varakoodit^(Backup) ovat hyödyllisiä, kun edellä mainitut kaksi vahvistustapaa eivät toimi. Voit kirjautua tilillesi syöttämällä minkä tahansa tililtäsi lataamistasi varakoodeista.

Authenticator-sovellus

Tässä menetelmässä sinun on yhdistettävä tilisi todennussovellukseen. Aina kun haluat kirjautua tilillesi, sinun on syötettävä älypuhelimeesi asennetussa todennussovelluksessa näkyvä koodi.

On olemassa useita muita vahvistustapoja, joita verkkosivusto voi käyttää.

Lue^(Read) : Kaksivaiheisen vahvistuksen lisääminen Google-tiliisi^{(How To Add Two-step Verification To Your Google Account)} .

Kuinka hakkerit voivat kiertää kaksivaiheisen todennuksen^{(Two-factor Authentication)}

Epäilemättä 2FA tekee tilistäsi turvallisemman. Mutta on edelleen monia tapoja, joilla hakkerit voivat ohittaa tämän suojakerroksen.

1] Evästeiden varastaminen^{(Cookie Stealing)} tai istunnon kaappaus^{(Session Hijacking)}

Evästeiden varastaminen tai istunnon kaappaus^{(Cookie stealing or session hijacking)} on tapa varastaa käyttäjän istuntoeväste. Kun hakkeri onnistuu varastamaan istuntoevästeen, hän voi helposti ohittaa kaksivaiheisen todennuksen. Hyökkääjät tuntevat monia kaappausmenetelmiä, kuten istunnon kiinnittämisen, istunnon nuuskimisen, sivustojen väliset komentosarjat, haittaohjelmahyökkäykset jne. Evilginx on yksi suosituimmista kehyksistä, joita hakkerit käyttävät välimieshyökkäykseen. Tässä menetelmässä hakkeri lähettää käyttäjälle phishing-linkin, joka vie hänet välityspalvelimen kirjautumissivulle. Kun käyttäjä kirjautuu tililleen 2FA:n avulla, Evilginx tallentaa hänen kirjautumistietonsa sekä todennuskoodin. OTP :stä lähtienvanhenee sen käytön jälkeen ja on myös voimassa tietyn ajan, todennuskoodin kaappaamisesta ei ole hyötyä. Mutta hakkereilla on käyttäjän istuntoevästeet, joiden avulla hän voi kirjautua tililleen ja ohittaa kaksivaiheisen todennuksen.

2] Duplicate Code Generation

Jos olet käyttänyt Google Authenticator -sovellusta, tiedät, että se luo uusia koodeja tietyn ajan kuluttua. Google Authenticator ja muut todennussovellukset toimivat tietyllä algoritmilla. Satunnaiskoodigeneraattorit^(Random) aloittavat yleensä siemenarvolla ensimmäisen numeron luomiseksi. Algoritmi käyttää sitten tätä ensimmäistä arvoa muiden koodiarvojen luomiseen. Jos hakkeri ymmärtää tämän algoritmin, hän voi helposti luoda kaksoiskoodin ja kirjautua sisään käyttäjän tilille.

3] Brute Force

Brute Force on tekniikka, jolla luodaan kaikki mahdolliset salasanayhdistelmät. Aika, joka kuluu salasanan murtamiseen raa'alla voimalla, riippuu sen pituudesta. Mitä pidempi salasana on, sitä kauemmin sen murtamiseen kuluu aikaa. Yleensä todennuskoodit ovat 4–6 numeroa pitkiä, ja hakkerit voivat yrittää raa'alla voimalla yrittää ohittaa 2FA:n. Mutta nykyään raakavoimahyökkäysten onnistumisprosentti on pienempi. Tämä johtuu siitä, että todennuskoodi on voimassa vain lyhyen ajan.

4] Social Engineering

Social Engineering on tekniikka, jossa hyökkääjä yrittää huijata käyttäjän mieltä ja pakottaa hänet syöttämään kirjautumistietonsa väärennetylle kirjautumissivulle. Riippumatta siitä, tietääkö hyökkääjä käyttäjätunnuksesi ja salasanasi vai ei, hän voi ohittaa kaksivaiheisen todennuksen. Miten? Katsotaan:

Tarkastellaan ensimmäistä tapausta, jossa hyökkääjä tietää käyttäjätunnuksesi ja salasanasi. Hän ei voi kirjautua tilillesi, koska olet ottanut 2FA:n käyttöön. Saadakseen koodin hän voi lähettää sinulle sähköpostin, jossa on haitallinen linkki, mikä luo sinussa pelon siitä, että tilisi voidaan hakkeroida, jos et ryhdy välittömiin toimiin. Kun napsautat linkkiä, sinut ohjataan hakkerin sivulle, joka jäljittelee alkuperäisen verkkosivun aitoutta. Kun annat salasanan, tilisi hakkeroidaan.

Otetaan nyt toinen tapaus, jossa hakkeri ei tiedä käyttäjänimeäsi ja salasanaasi. Tässäkin^(Again) tapauksessa hän lähettää sinulle tietojenkalastelulinkin ja varastaa käyttäjätunnuksesi ja salasanasi sekä 2FA-koodin.

5] OAuth

OAuth -integraatio tarjoaa käyttäjille mahdollisuuden kirjautua tililleen kolmannen osapuolen tilillä. Se on maineikas verkkosovellus, joka käyttää valtuutustunnuksia käyttäjien ja palveluntarjoajien välisen henkilöllisyyden todistamiseen. Voit harkita OAuthia^(OAuth) vaihtoehtoisena tapana kirjautua tileillesi.

OAuth - mekanismi toimii seuraavalla tavalla:

1. Sivusto A pyytää sivustolta B^{(Site B)} (esim . Facebook ) todennustunnusta.
2. Sivusto B^{(Site B)} katsoo, että pyyntö on käyttäjän luoma, ja vahvistaa käyttäjän tilin.
3. Sivusto B^{(Site B)} lähettää sitten takaisinsoittokoodin ja antaa hyökkääjän kirjautua sisään.

Yllä olevissa prosesseissa olemme nähneet, että hyökkääjän ei tarvitse varmentaa itseään 2FA:n kautta. Mutta jotta tämä ohitusmekanismi toimisi, hakkereilla tulee olla käyttäjätilin käyttäjätunnus ja salasana.

Näin hakkerit voivat ohittaa käyttäjän tilin kaksivaiheisen todennuksen.

Kuinka estää 2FA:n ohittaminen?

Hakkerit voivat todellakin ohittaa kaksivaiheisen todennuksen, mutta jokaisessa menetelmässä he tarvitsevat käyttäjien suostumuksen, jonka he saavat huijaamalla heitä. Ilman käyttäjien huijaamista 2FA:n ohittaminen ei ole mahdollista. Siksi^(Hence) sinun tulee huolehtia seuraavista seikoista:

• Ennen kuin napsautat mitään linkkiä, tarkista sen aitous. Voit tehdä tämän tarkistamalla lähettäjän sähköpostiosoitteen.
• Luo vahva salasana^{(Create a strong password)} , joka sisältää yhdistelmän aakkosia, numeroita ja erikoismerkkejä.
• Käytä^(Use) vain aitoja todennussovelluksia, kuten Google Authenticator, Microsoft authenticator jne.
• Lataa^(Download) ja tallenna varakoodit turvalliseen paikkaan.
• Älä koskaan luota tietojenkalasteluviesteihin, joita hakkerit käyttävät huijatakseen käyttäjien mieliä.
• Älä jaa turvakoodeja kenenkään kanssa.
• Aseta^(Setup) suojausavain tilillesi, vaihtoehto 2FA:lle.
• Vaihda salasanasi säännöllisesti.

Lue^(Read) : Vinkkejä hakkereiden pitämiseen poissa Windows-tietokoneeltasi^{(Tips to Keep Hackers out of your Windows computer)} .

Johtopäätös

Kaksivaiheinen todennus on tehokas suojakerros, joka suojaa tiliäsi kaappauksilta. Hakkerit haluavat aina saada mahdollisuuden ohittaa 2FA. Jos olet tietoinen erilaisista hakkerointimekanismeista ja vaihdat salasanasi säännöllisesti, voit suojata tiliäsi paremmin.

How Hackers can get around Two-factor Authentication

You may think that enabling two-factor authentication on your account makes it 100% secure. Two-factor authentication is among the best methods to protect your account. But you may be surprised to hear that your account can be hijacked despite enabling two-factor authentication. In this article, we will tell you the different ways by which attackers can bypass two-factor authentication.

What is Two-factor Authentication (2FA)?

Before we begin, let’s see what 2FA is. You know that you have to enter a password to log into your account. Without the correct password, you cannot log in. 2FA is the process of adding an extra security layer to your account. After enabling it, you cannot log into your account by entering the password only. You have to complete one more security step. This means in 2FA, the website verifies the user in two steps.

Read: How to Enable 2-step Verification in Microsoft Account.

How Does 2FA Work?

Let’s understand the working principle of two-factor authentication. The 2FA requires you to verify yourself two times. When you enter your username and password, you will be redirected to another page, where you have to provide a second proof that you are the real person trying to log in. A website can use any of the following verification methods:

OTP (One Time Password)

After entering the password, the website tells you to verify yourself by entering the OTP sent on your registered mobile number. After entering the correct OTP, you can log into your account.

Prompt Notification

Prompt notification is displayed on your smartphone if it is connected to the internet. You have to verify yourself by tapping on the “Yes” button. After that, you will be logged into your account on your PC.

Backup Codes

Backup codes are useful when the above two methods of verification won’t work. You can log into your account by entering any one of the backup codes you have downloaded from your account.

Authenticator App

In this method, you have to connect your account with an authenticator app. Whenever you want to log into your account, you have to enter the code displayed on the authenticator app installed on your smartphone.

There are several more methods of verification that a website can use.

Read: How To Add Two-step Verification To Your Google Account.

How Hackers can get around Two-factor Authentication

Undoubtedly, 2FA makes your account more secure. But there are still many ways by which hackers can bypass this security layer.

1] Cookie Stealing or Session Hijacking

Cookie stealing or session hijacking is the method of stealing the session cookie of the user. Once the hacker gets success in stealing the session cookie, he can easily bypass the two-factor authentication. Attackers know many methods of hijacking, like session fixation, session sniffing, cross-site scripting, malware attack, etc. Evilginx is among the popular frameworks that hackers use to perform a man-in-the-middle attack. In this method, the hacker sends a phishing link to the user that takes him to a proxy login page. When the user logs into his account using 2FA, Evilginx captures his login credentials along with the authentication code. Since the OTP expires after using it and also valid for a particular time frame, there is no use in capturing the authentication code. But the hacker has the user’s session cookies, which he can use to log into his account and bypass the two-factor authentication.

2] Duplicate Code Generation

If you have used the Google Authenticator app, you know that it generates new codes after a particular time. Google Authenticator and other authenticator apps work on a particular algorithm. Random code generators generally start with a seed value to generate the first number. The algorithm then uses this first value to generate the remaining code values. If the hacker is able to understand this algorithm, he can easily create a duplicate code and log into the user’s account.

3] Brute Force

Brute Force is a technique to generate all the possible password combinations. The time for cracking a password using brute force depends on its length. The longer the password is, the more time it takes to crack it. Generally, the authentication codes are from 4 to 6 digits long, hackers can try a brute force attempt to bypass the 2FA. But today, the success rate of brute force attacks is less. This is because the authentication code remains valid only for a short period.

4] Social Engineering

Social Engineering is the technique in which an attacker tries to trick the user’s mind and forces him to enter his login credentials on a fake login page. No matter whether the attacker knows your username and password or not, he can bypass the two-factor authentication. How? Let’s see:

Let’s consider the first case in which the attacker knows your username and password. He cannot log into your account because you have enabled 2FA. To get the code, he can send you an email with a malicious link, creating a fear in you that your account can be hacked if you do not take immediate action. When you click on that link, you will be redirected to the hacker’s page that mimics the authenticity of the original webpage. Once you enter the passcode, your account will be hacked.

Now, let’s take another case in which the hacker does not know your username and password. Again, in this case, he sends you a phishing link and steals your username and password along with the 2FA code.

5] OAuth

OAuth integration provides users with a facility to log into their account using a third-party account. It is a reputed web application that uses authorization tokens to prove identity between the users and service providers. You can consider OAuth an alternate way to log into your accounts.

An OAuth mechanism works in the following way:

1. Site A requests Site B (e.g. Facebook) for an authentication token.
2. Site B considers that the request is generated by the user and verifies the user’s account.
3. Site B then sends a callback code and lets the attacker sign in.

In the above processes, we have seen that the attacker does not require to verify himself via 2FA. But for this bypass mechanism to work, the hacker should have the user’s account username and password.

This is how hackers can bypass the two-factor authentication of a user’s account.

How to prevent 2FA bypassing?

Hackers can indeed bypass the two-factor authentication, but in each method, they need the users’ consent which they get by tricking them. Without tricking the users, bypassing 2FA is not possible. Hence, you should take care of the following points:

• Before clicking on any link, please check its authenticity. You can do this by checking the sender’s email address.
• Create a strong password that contains a combination of alphabets, numbers, and special characters.
• Use only genuine authenticator apps, like Google authenticator, Microsoft authenticator, etc.
• Download and save the backup codes at a safe place.
• Never trust phishing emails that hackers use to trick the users’ minds.
• Do not share security codes with anyone.
• Setup security key on your account, an alternative to 2FA.
• Keep changing your password regularly.

Read: Tips to Keep Hackers out of your Windows computer.

Conclusion

Two-factor authentication is an effective security layer that protects your account from hijacking. Hackers always want to get a chance to bypass 2FA. If you are aware of different hacking mechanisms and change your password regularly, you can protect your account better.

Related posts

• Kuinka ottaa kaksitekijäinen todennus käyttöön Discordissa

• Kuinka määrittää palautus- ja varmuuskopiointiasetukset oikein kaksivaiheista todennusta varten

• Drupalin asentaminen WAMP:n avulla Windowsissa

• Parhaat ohjelmistot ja laitteistot Bitcoin-lompakot Windowsille, iOS:lle, Androidille

• Asenna Internet Radio Station ilmaiseksi Windows PC:lle

• Parhaat työkalut tekstiviestien lähettämiseen ilmaiseksi tietokoneeltasi

• Fix Partner ei muodostanut yhteyttä reititinvirheeseen TeamViewerissa Windows 10:ssä

• Disqusin kommenttikenttä ei lataudu tai näy verkkosivustolle

• Kuinka sulkea Payoneer-tilisi?

• Kuinka muuntaa binaari tekstiksi tämän tekstin binaarimuuntimen avulla

• Itseallekirjoitettujen SSL-sertifikaattien luominen Windows 11/10:ssä

• Parhaat kannettavan tietokoneen reput miehille ja naisille

• Parhaat kannettavat tietokonepöydät verkosta

• Ilmainen tehtävienhallintaohjelmisto ryhmätyön hallintaan

• Paras ilmainen suojattu digitaalinen kannettava ohjelmisto ja verkkopalvelut

• Mikä on Big Data - yksinkertainen selitys esimerkin kanssa

• Whiteboard Fox on ilmainen online-taulu, joka mahdollistaa reaaliaikaisen jakamisen

• Online maineenhallintavinkkejä, -työkaluja ja -palveluita

• Virhe tarkistettaessa VLC:n päivityksiä

• Kuinka tehdä kutsukortti Windows-tietokoneessa