黑客如何绕过两因素身份验证

您可能认为在您的帐户上启用双重身份验证可以使其 100% 安全。双重身份验证(Two-factor authentication)是保护您的帐户的最佳方法之一。但是您可能会惊讶地发现,尽管启用了两因素身份验证,您的帐户仍可能被劫持。在本文中,我们将告诉您攻击者绕过双重身份验证的不同方式。

黑客如何绕过两因素身份验证

什么是两因素身份验证(Authentication)(2FA)?

在开始之前,让我们看看 2FA 是什么。您知道您必须输入密码才能登录您的帐户。如果没有正确的密码,您将无法登录。2FA 是为您的帐户添加额外安全层的过程。启用后,您无法仅通过输入密码登录您的帐户。您必须再完成一个安全步骤。这意味着在 2FA 中,网站分两步验证用户。

阅读(Read)如何在 Microsoft 帐户中启用两步验证(How to Enable 2-step Verification in Microsoft Account)

2FA 如何工作?

让我们了解两因素身份验证的工作原理。2FA 要求您验证自己两次。当您输入您的用户名和密码时,您将被重定向到另一个页面,您必须在该页面提供第二个证明,证明您是真正尝试登录的人。网站可以使用以下任何一种验证方法:

OTP(一次性密码)

绕过两因素身份验证 OTP

输入密码后,网站会告诉您通过输入您注册的手机号码上发送的OTP来验证自己。(OTP)输入正确的OTP后,您可以登录您的帐户。

提示通知

绕过两因素身份验证提示通知

如果您的智能手机连接到互联网,则会在您的智能手机上显示提示通知。您必须通过点击“(Yes)”按钮来验证自己。之后,您将在 PC 上登录您的帐户。

备用代码

绕过两因素身份验证备份代码

(Backup)当上述两种验证方法不起作用时,备用代码很有用。您可以通过输入从您的帐户下载的任何一个备份代码来登录您的帐户。

身份验证器应用

绕过两因素身份验证 Authenticator 应用程序

在这种方法中,您必须将您的帐户与验证器应用程序连接起来。每当您想登录您的帐户时,您都必须输入安装在智能手机上的身份验证器应用程序上显示的代码。

网站可以使用其他几种验证方法。

阅读(Read)如何向您的 Google 帐户添加两步验证(How To Add Two-step Verification To Your Google Account)

黑客如何绕过两因素身份验证(Two-factor Authentication)

毫无疑问,2FA 让您的帐户更加安全。但是黑客仍然有很多方法可以绕过这个安全层。

1] Cookie窃取(Cookie Stealing)会话劫持(Session Hijacking)

cookie窃取或会话劫持(Cookie stealing or session hijacking)是窃取用户会话cookie的方法。一旦黑客成功窃取了会话cookie,他就可以轻松绕过双因素身份验证。攻击者知道许多劫持方法,如会话固定、会话嗅探、跨站点脚本、恶意软件攻击等。Evilginx是黑客用来执行中间人攻击的流行框架之一。在这种方法中,黑客向用户发送钓鱼链接,将他带到代理登录页面。当用户使用 2FA 登录他的帐户时,Evilginx 会(Evilginx)捕获他的登录凭据以及身份验证代码。由于OTP使用后过期并且在特定时间范围内有效,捕获验证码没有用。但是黑客拥有用户的会话 cookie,他可以使用它来登录他的帐户并绕过双重身份验证。

2]重复代码生成

如果您使用过Google Authenticator应用程序,您就会知道它会在特定时间后生成新代码。Google Authenticator和其他身份验证器应用程序使用特定的算法。随机(Random)码生成器通常以种子值开始以生成第一个数字。该算法然后使用这个第一个值来生成剩余的代码值。如果黑客能够理解这个算法,他可以很容易地创建一个重复的代码并登录到用户的帐户。

3]蛮力

蛮力(Brute Force)是一种生成所有可能的密码组合的技术。使用暴力破解密码的时间取决于其长度。密码越长,破解它所需的时间就越多。通常,验证码长度为 4 到 6 位,黑客可以尝试暴力破解 2FA。但是今天,蛮力攻击的成功率较低。这是因为验证码仅在短时间内有效。

4]社会工程学

社会工程是一种攻击者试图欺骗用户的思想并强迫他在虚假登录页面上输入登录凭据的技术。无论攻击者是否知道您的用户名和密码,他都可以绕过双重身份验证。如何?让我们来看看:

让我们考虑攻击者知道您的用户名和密码的第一种情况。他无法登录您的帐户,因为您启用了 2FA。为了获取代码,他可以向您发送一封带有恶意链接的电子邮件,让您担心如果您不立即采取行动,您的帐户可能会被黑客入侵。当您单击该链接时,您将被重定向到模仿原始网页真实性的黑客页面。输入密码后,您的帐户将被黑客入侵。

现在,让我们再看一个黑客不知道您的用户名和密码的情况。同样(Again),在这种情况下,他会向您发送网络钓鱼链接并窃取您的用户名和密码以及 2FA 代码。

5] OAuth

OAuth集成为用户提供了使用第三方帐户登录其帐户的便利。它是一个著名的 Web 应用程序,它使用授权令牌来证明用户和服务提供商之间的身份。您可以考虑使用 OAuth(OAuth)作为登录帐户的替代方式。

OAuth机制的工作方式如下:

  1. 站点 A 向站点 B(Site B)(例如Facebook)请求身份验证令牌。
  2. 站点 B(Site B)认为请求是由用户生成的,并验证用户的帐户。
  3. 然后站点 B(Site B)发送回调代码并让攻击者登录。

在上述过程中,我们看到攻击者不需要通过 2FA 验证自己。但是要使这种绕过机制起作用,黑客应该拥有用户的帐户用户名和密码。

这就是黑客可以绕过用户帐户的双重身份验证的方式。

如何防止2FA绕过?

黑客确实可以绕过双因素身份验证,但在每种方法中,他们都需要通过欺骗获得用户的同意。在不欺骗用户的情况下,绕过 2FA 是不可能的。因此(Hence),您应该注意以下几点:

  • 在点击任何链接之前,请检查其真实性。您可以通过检查发件人的电子邮件地址来做到这一点。
  • 创建一个(Create a strong password)包含字母、数字和特殊字符组合的强密码。
  • 仅使用(Use)正版身份验证器应用程序,例如Google身份验证器、Microsoft身份验证器等。
  • 下载(Download)备份代码并将其保存在安全的地方。
  • 永远不要相信黑客用来欺骗用户的网络钓鱼电子邮件。
  • 不要与任何人共享安全代码。
  • 在您的帐户上设置(Setup)安全密钥,替代 2FA。
  • 保持定期更改密码。

阅读(Read)让黑客远离您的 Windows 计算机的提示(Tips to Keep Hackers out of your Windows computer)

结论

双重身份验证是一种有效的安全层,可保护您的帐户免遭劫持。黑客总是希望有机会绕过 2FA。如果您了解不同的黑客机制并定期更改密码,则可以更好地保护您的帐户。



About the author

在商业和技术方面,Windows 10 和 Windows 11/10 是非常重要的工具。它们使您可以比以往更轻松、更安全地与计算机交互,并运行功能强大但可自定义的应用程序,而不会带来任何安全风险。这些工具对于希望能够扩大其在线业务并吸引新客户的企业来说也是必不可少的。因此,我会说我在 Windows 10 和 Windows 11/10 方面的技能使我成为此类工作或业务的理想人选。



Related posts