Du tror måske, at aktivering af to-faktor-godkendelse på din konto gør den 100 % sikker. To-faktor-godkendelse^{(Two-factor authentication)} er blandt de bedste metoder til at beskytte din konto. Men du kan blive overrasket over at høre, at din konto kan blive kapret på trods af at du aktiverer to-faktor-godkendelse. I denne artikel vil vi fortælle dig de forskellige måder, hvorpå angribere kan omgå to-faktor-godkendelse.

Hvad er tofaktorgodkendelse ( 2FA^{(Authentication)} )?

Før vi begynder, lad os se, hvad 2FA er. Du ved, at du skal indtaste en adgangskode for at logge ind på din konto. Uden den korrekte adgangskode kan du ikke logge ind. 2FA er processen med at tilføje et ekstra sikkerhedslag til din konto. Efter at have aktiveret det, kan du ikke logge ind på din konto ved kun at indtaste adgangskoden. Du skal gennemføre endnu et sikkerhedstrin. Det betyder i 2FA, at hjemmesiden verificerer brugeren i to trin.

Læs^(Read) : Sådan aktiverer du 2-trinsbekræftelse i Microsoft-konto^{(How to Enable 2-step Verification in Microsoft Account)} .

Hvordan virker 2FA?

Lad os forstå arbejdsprincippet for tofaktorautentificering. 2FA kræver, at du bekræfter dig selv to gange. Når du indtaster dit brugernavn og din adgangskode, vil du blive omdirigeret til en anden side, hvor du skal fremlægge endnu et bevis på, at du er den rigtige person, der forsøger at logge ind. Et websted kan bruge en af ​​følgende bekræftelsesmetoder:

OTP (engangsadgangskode)

Efter at have indtastet adgangskoden, fortæller hjemmesiden dig, at du skal verificere dig selv ved at indtaste den OTP , der er sendt på dit registrerede mobilnummer. Efter at have indtastet den korrekte OTP , kan du logge ind på din konto.

Hurtig meddelelse

Hurtig meddelelse vises på din smartphone, hvis den er forbundet til internettet. Du skal bekræfte dig selv ved at trykke på knappen " Ja^(Yes) ". Derefter vil du blive logget ind på din konto på din pc.

Backup koder

Sikkerhedskopieringskoder^(Backup) er nyttige, når de to ovenstående metoder til bekræftelse ikke virker. Du kan logge ind på din konto ved at indtaste en af ​​de backupkoder, du har downloadet fra din konto.

Authenticator-app

I denne metode skal du forbinde din konto med en autentificeringsapp. Når du vil logge ind på din konto, skal du indtaste koden, der vises på autentificeringsappen, der er installeret på din smartphone.

Der er flere flere metoder til verifikation, som et websted kan bruge.

Læs^(Read) : Sådan tilføjer du totrinsbekræftelse til din Google-konto^{(How To Add Two-step Verification To Your Google Account)} .

Hvordan hackere kan komme uden om tofaktorautentificering^{(Two-factor Authentication)}

Uden tvivl gør 2FA din konto mere sikker. Men der er stadig mange måder, hvorpå hackere kan omgå dette sikkerhedslag.

1] Cookie-tyveri^{(Cookie Stealing)} eller sessionskapring^{(Session Hijacking)}

Cookie stjæle eller session kapring^{(Cookie stealing or session hijacking)} er metoden til at stjæle session cookie af brugeren. Når først hackeren får succes med at stjæle session-cookien, kan han nemt omgå to-faktor-godkendelsen. Angribere kender mange metoder til kapring, såsom sessionsfiksering, sessionssniffing, cross-site scripting, malwareangreb osv. Evilginx er blandt de populære rammer, som hackere bruger til at udføre et man-in-the-middle-angreb. I denne metode sender hackeren et phishing-link til brugeren, der fører ham til en proxy-loginside. Når brugeren logger ind på sin konto ved hjælp af 2FA, fanger Evilginx hans loginoplysninger sammen med godkendelseskoden. Siden OTPudløber efter brug af det og også gyldigt i en bestemt tidsramme, er der ingen brug for at fange godkendelseskoden. Men hackeren har brugerens sessionscookies, som han kan bruge til at logge ind på sin konto og omgå to-faktor-godkendelsen.

2] Duplicate Code Generation

Hvis du har brugt Google Authenticator -appen, ved du, at den genererer nye koder efter et bestemt tidspunkt. Google Authenticator og andre autentificeringsapps fungerer på en bestemt algoritme. Tilfældige^(Random) kodegeneratorer starter generelt med en startværdi for at generere det første tal. Algoritmen bruger derefter denne første værdi til at generere de resterende kodeværdier. Hvis hackeren er i stand til at forstå denne algoritme, kan han nemt oprette en dubletkode og logge ind på brugerens konto.

3] Brute Force

Brute Force er en teknik til at generere alle mulige adgangskodekombinationer. Tiden for at knække en adgangskode ved hjælp af brute force afhænger af dens længde. Jo længere adgangskoden er, jo længere tid tager det at knække den. Generelt er godkendelseskoderne fra 4 til 6 cifre lange, hackere kan prøve et brute force forsøg på at omgå 2FA. Men i dag er succesraten for brute force-angreb mindre. Dette skyldes, at godkendelseskoden kun forbliver gyldig i en kort periode.

4] Social Engineering

Social Engineering er den teknik, hvor en angriber forsøger at narre brugerens sind og tvinger ham til at indtaste sine loginoplysninger på en falsk login-side. Uanset om angriberen kender dit brugernavn og adgangskode eller ej, kan han omgå to-faktor-godkendelsen. Hvordan? Lad os se:

Lad os overveje det første tilfælde, hvor angriberen kender dit brugernavn og din adgangskode. Han kan ikke logge ind på din konto, fordi du har aktiveret 2FA. For at få koden kan han sende dig en e-mail med et ondsindet link, hvilket skaber en frygt i dig for, at din konto kan blive hacket, hvis du ikke skrider til handling med det samme. Når du klikker på det link, vil du blive omdirigeret til hackerens side, der efterligner ægtheden af ​​den originale webside. Når du har indtastet adgangskoden, bliver din konto hacket.

Lad os nu tage et andet tilfælde, hvor hackeren ikke kender dit brugernavn og din adgangskode. Igen^(Again) , i dette tilfælde sender han dig et phishing-link og stjæler dit brugernavn og adgangskode sammen med 2FA-koden.

5] OAuth

OAuth -integration giver brugerne mulighed for at logge ind på deres konto ved hjælp af en tredjepartskonto. Det er en velrenommeret webapplikation, der bruger autorisationstokens til at bevise identiteten mellem brugerne og tjenesteudbyderne. Du kan overveje OAuth som en alternativ måde at logge ind på dine konti på.

En OAuth- mekanisme fungerer på følgende måde:

1. Site A anmoder Site B (f.eks . Facebook ) om et godkendelsestoken.
2. Site B vurderer, at anmodningen er genereret af brugeren og verificerer brugerens konto.
3. Site B sender derefter en tilbagekaldskode og lader angriberen logge ind.

I ovenstående processer har vi set, at angriberen ikke kræver at verificere sig selv via 2FA. Men for at denne bypass-mekanisme skal fungere, skal hackeren have brugerens kontobrugernavn og adgangskode.

Sådan kan hackere omgå to-faktor-godkendelsen af ​​en brugers konto.

Hvordan forhindrer man 2FA-omgåelse?

Hackere kan ganske rigtigt omgå to-faktor-autentificeringen, men i hver metode har de brug for brugernes samtykke, som de får ved at narre dem. Uden at narre brugerne er det ikke muligt at omgå 2FA. Derfor^(Hence) bør du tage dig af følgende punkter:

• Før du klikker på et link, skal du kontrollere dets ægthed. Det kan du gøre ved at tjekke afsenderens e-mailadresse.
• Opret en stærk adgangskode^{(Create a strong password)} , der indeholder en kombination af alfabeter, tal og specialtegn.
• Brug^(Use) kun ægte autentificeringsapps, såsom Google Authenticator, Microsoft Authenticator osv.
• Download og gem backupkoderne et sikkert sted.
• Stol aldrig på phishing-e-mails, som hackere bruger til at narre brugernes sind.
• Del ikke sikkerhedskoder med nogen.
• Konfigurer^(Setup) sikkerhedsnøgle på din konto, et alternativ til 2FA.
• Bliv ved med at ændre din adgangskode regelmæssigt.

Læs^(Read) : Tips til at holde hackere ude af din Windows-computer^{(Tips to Keep Hackers out of your Windows computer)} .

Konklusion

To-faktor-godkendelse er et effektivt sikkerhedslag, der beskytter din konto mod kapring. Hackere ønsker altid at få en chance for at omgå 2FA. Hvis du er opmærksom på forskellige hackingmekanismer og ændrer din adgangskode regelmæssigt, kan du beskytte din konto bedre.

How Hackers can get around Two-factor Authentication

You may think thаt enabling two-factor authеntication on your account makes it 100% ѕecure. Two-factor authentication is among the best methods to protect your account. But you may be surprised to hear that your account can be hijacked despite enabling two-factor authentication. In this article, we will tell you the different ways by which attackers can bypass two-factor authentication.

What is Two-factor Authentication (2FA)?

Before we begin, let’s see what 2FA is. You know that you have to enter a password to log into your account. Without the correct password, you cannot log in. 2FA is the process of adding an extra security layer to your account. After enabling it, you cannot log into your account by entering the password only. You have to complete one more security step. This means in 2FA, the website verifies the user in two steps.

Read: How to Enable 2-step Verification in Microsoft Account.

How Does 2FA Work?

Let’s understand the working principle of two-factor authentication. The 2FA requires you to verify yourself two times. When you enter your username and password, you will be redirected to another page, where you have to provide a second proof that you are the real person trying to log in. A website can use any of the following verification methods:

OTP (One Time Password)

After entering the password, the website tells you to verify yourself by entering the OTP sent on your registered mobile number. After entering the correct OTP, you can log into your account.

Prompt Notification

Prompt notification is displayed on your smartphone if it is connected to the internet. You have to verify yourself by tapping on the “Yes” button. After that, you will be logged into your account on your PC.

Backup Codes

Backup codes are useful when the above two methods of verification won’t work. You can log into your account by entering any one of the backup codes you have downloaded from your account.

Authenticator App

In this method, you have to connect your account with an authenticator app. Whenever you want to log into your account, you have to enter the code displayed on the authenticator app installed on your smartphone.

There are several more methods of verification that a website can use.

Read: How To Add Two-step Verification To Your Google Account.

How Hackers can get around Two-factor Authentication

Undoubtedly, 2FA makes your account more secure. But there are still many ways by which hackers can bypass this security layer.

1] Cookie Stealing or Session Hijacking

Cookie stealing or session hijacking is the method of stealing the session cookie of the user. Once the hacker gets success in stealing the session cookie, he can easily bypass the two-factor authentication. Attackers know many methods of hijacking, like session fixation, session sniffing, cross-site scripting, malware attack, etc. Evilginx is among the popular frameworks that hackers use to perform a man-in-the-middle attack. In this method, the hacker sends a phishing link to the user that takes him to a proxy login page. When the user logs into his account using 2FA, Evilginx captures his login credentials along with the authentication code. Since the OTP expires after using it and also valid for a particular time frame, there is no use in capturing the authentication code. But the hacker has the user’s session cookies, which he can use to log into his account and bypass the two-factor authentication.

2] Duplicate Code Generation

If you have used the Google Authenticator app, you know that it generates new codes after a particular time. Google Authenticator and other authenticator apps work on a particular algorithm. Random code generators generally start with a seed value to generate the first number. The algorithm then uses this first value to generate the remaining code values. If the hacker is able to understand this algorithm, he can easily create a duplicate code and log into the user’s account.

3] Brute Force

Brute Force is a technique to generate all the possible password combinations. The time for cracking a password using brute force depends on its length. The longer the password is, the more time it takes to crack it. Generally, the authentication codes are from 4 to 6 digits long, hackers can try a brute force attempt to bypass the 2FA. But today, the success rate of brute force attacks is less. This is because the authentication code remains valid only for a short period.

4] Social Engineering

Social Engineering is the technique in which an attacker tries to trick the user’s mind and forces him to enter his login credentials on a fake login page. No matter whether the attacker knows your username and password or not, he can bypass the two-factor authentication. How? Let’s see:

Let’s consider the first case in which the attacker knows your username and password. He cannot log into your account because you have enabled 2FA. To get the code, he can send you an email with a malicious link, creating a fear in you that your account can be hacked if you do not take immediate action. When you click on that link, you will be redirected to the hacker’s page that mimics the authenticity of the original webpage. Once you enter the passcode, your account will be hacked.

Now, let’s take another case in which the hacker does not know your username and password. Again, in this case, he sends you a phishing link and steals your username and password along with the 2FA code.

5] OAuth

OAuth integration provides users with a facility to log into their account using a third-party account. It is a reputed web application that uses authorization tokens to prove identity between the users and service providers. You can consider OAuth an alternate way to log into your accounts.

An OAuth mechanism works in the following way:

1. Site A requests Site B (e.g. Facebook) for an authentication token.
2. Site B considers that the request is generated by the user and verifies the user’s account.
3. Site B then sends a callback code and lets the attacker sign in.

In the above processes, we have seen that the attacker does not require to verify himself via 2FA. But for this bypass mechanism to work, the hacker should have the user’s account username and password.

This is how hackers can bypass the two-factor authentication of a user’s account.

How to prevent 2FA bypassing?

Hackers can indeed bypass the two-factor authentication, but in each method, they need the users’ consent which they get by tricking them. Without tricking the users, bypassing 2FA is not possible. Hence, you should take care of the following points:

• Before clicking on any link, please check its authenticity. You can do this by checking the sender’s email address.
• Create a strong password that contains a combination of alphabets, numbers, and special characters.
• Use only genuine authenticator apps, like Google authenticator, Microsoft authenticator, etc.
• Download and save the backup codes at a safe place.
• Never trust phishing emails that hackers use to trick the users’ minds.
• Do not share security codes with anyone.
• Setup security key on your account, an alternative to 2FA.
• Keep changing your password regularly.

Read: Tips to Keep Hackers out of your Windows computer.

Conclusion

Two-factor authentication is an effective security layer that protects your account from hijacking. Hackers always want to get a chance to bypass 2FA. If you are aware of different hacking mechanisms and change your password regularly, you can protect your account better.

Related posts

• Sådan aktiverer du to-faktor-godkendelse i Discord

• Sådan konfigureres genoprettelses- og sikkerhedskopieringsmuligheder for tofaktorgodkendelse korrekt

• Sådan installeres Drupal ved hjælp af WAMP på Windows

• Bedste Software & Hardware Bitcoin Wallets til Windows, iOS, Android

• Konfigurer internetradiostation gratis på Windows-pc

• Hvad er virtuelle kreditkort, og hvordan og hvor får du dem?

• Gratis opgavestyringssoftware til at styre teamarbejde

• Session messaging app tilbyder stærk sikkerhed; Intet telefonnummer påkrævet!

• Bedste værktøjer til at sende SMS gratis fra din computer

• Denne konto er ikke knyttet til nogen Mixer-konto

• OpenGL-apps kører ikke på Miracast trådløs skærm i Windows 11/10

• Sådan sletter du din LastPass-konto

• Zip-filen er for stor fejl ved download af filer fra DropBox

• 10 bedste USB LED-lamper til bærbare computere

• Konverter magnetlinks til direkte download-links ved hjælp af Seedr

• Disqus kommentarfelt indlæses eller vises ikke for et websted

• Sådan krypteres og tilføjes adgangskoder til LibreOffice-dokumenter

• Hvad er 'Chip og PIN' eller EMV-kreditkort

• Sådan konverteres binær til tekst ved hjælp af denne tekst til binær konverter

• Bedste gratis sikre digitale notebooksoftware og onlinetjenester