web-dev-qa-db-ja.com

簡単にバイパスできるのに、なぜ特定のタイプの2faに悩むのでしょうか。

実際には、2faをバイパスする方法があります。要点は、攻撃者はパスワードをフィッシングするだけでなく、2番目の要素もフィッシングし、自分のマシンでの実際のログインにそれらを使用することです。 (詳細はこちら https://www.wandera.com/bypassing-2fa/ )。この攻撃シナリオでは、2faは誤った安心感を与え、フィッシングの犠牲になる可能性が高くなります。結局のところ、フィッシングに対する私の唯一の保護策が証明書とURLをチェックすることである場合、私はそれをだましの証拠になると宣伝している真新しい光沢のある2番目の要素を購入しただけと比較して、それを再確認する可能性が高くなります。

2番目の要素でこのようにフィッシングされた場合、ハッカーは内部にいて、ログアウトしない限り、非常に長い間とどまり、あらゆる種類のトラブルを引き起こす可能性があります。

明らかに2faには、誤った安心感を生み出すという欠点があります。私が見ることができる唯一の利点は、異なるサービス間で同じパスワードを共有するユーザーにとって、または同じ資格情報を使用したその後のログインを不可能にすることです。それらの利点は欠点に比べて小さすぎませんか?

明らかに、ここでの答えは再教育です。 2faを使用するようにユーザーに伝えますが、警戒を怠らないようにしてください。この種の攻撃と、2faを使用した場合でもいかに厄介であることをユーザーに知らせます。しかし、フィッシングの「最終的な」最終的な解決策として2fa解決策がいくつプッシュされているかを考えると、それは難しいことです。それは真実ではないだけでなく、多くの点で、特にウェブサイトの場合、問題を悪化させます。何か不足していますか?

authenticationpasswordsexploitmulti-factoruser-education
2
user3280964

はい、TOTPとHOTP(電子メール、SMSなどに加えて)はこれに対して脆弱です。なぜそれらを使用するのですか?実装が簡単で、dosome保護を提供するため。大多数の人がanyの第2要素を使用していない限り、MitMフィッシングは(おそらく)より多くかかるため、フィッシャーは主にそれらのユーザーを標的にします努力。

以前に言ったことがあります。もう一度言いますが、ほとんどの人が重要なアカウントに2FAを使い始めると、この種のMitMフィッシングははるかに一般的になります。これを防ぐ方法はU2FまたはWebAuthnで、どちらも 公開鍵暗号 を使用してサーバーを認証し、ブラウザーと通信して、アクセスしたドメイン名が登録したドメインと一致することを確認しますの鍵。

この問題についてより長く(私の意見では)偏見の少ないブログ投稿を表示したい場合、私はこれを読み飛ばしました Evilginx 2ブログ投稿 そしてそれはすべてをかなりうまくカバーしているようです(そしていくつかのことについてさえも持っています)フィッシングドメインがそれらをブロックしようとするスキャナーを回避する方法)。

私はフィッシングに重点を置いていましたが、 Ajedi32が指摘しているように 、2FAはフィッシングを防止する以上の目的で役立ちます。パスワードが危険にさらされている可能性があるが、2番目の要素が危険にさらされていない場合に役立ちます。

9
AndrolGenhald

2FAは単なるフィッシング以上のものから保護するためです。

2FAが防御する主な脅威の1つは credential stuffing です。この場合、攻撃者はデータ侵害で他のサービスから盗んだパスワードを取得し、同じクレデンシャルを使用してアカウントにログインしようとします。クレデンシャルのスタッフィングは、アカウントの侵害のかなり一般的な原因であり、 多数のインスタンス が長年にわたって成功した攻撃を引き起こしています。

おっしゃったように、サイトごとにランダムに生成された一意のパスワードを使用した場合、攻撃が機能しないのは事実です。ただし、最初にサインアップしたサイトでパスワードを入力するだけの場合も、フィッシングは機能しません。勤勉なユーザーが両方の攻撃を防御できるという事実は、もはや問題ではないという意味ではありません。

2FAはまた、弱いパスワード、ユーザーのモニターに添付された付箋に書き留められたパスワードなど、一般にパスワードベースの認証に影響を与える他の多くの悪い習慣から保護します。

さらに、2FAはまた、攻撃者にキャプチャされた資格情報をすぐに使用させ、侵害の期間を1つのログインセッションに制限することにより、キーロギングやフィッシングなどの他の攻撃に対する制限された耐性を提供します。また、U2F/WebAuthNトークンなどの2FAのはるかに優れた形式もいくつかあります。これらのトークンは、ユーザーのブラウザーと統合されているため、使用することを意図したサイトにのみ資格情報が提供されることを保証できるため、フィッシングに対する強力な防御を提供します。

3
Ajedi32