Question:
Attaquant contournant 2FA. Comment se défendre?
TheJulyPlot
2017-06-07 20:08:39 UTC
view on stackexchange narkive permalink

Le dernier vidage de la NSA décrit en détail une méthode qui aurait été utilisée par les services de renseignement russes pour contourner la 2FA. (Dans ce cas, Google 2FA, le deuxième facteur étant un code.)

C'est un schéma assez évident et qui, j'en suis sûr, doit être utilisé régulièrement. Cela semble fonctionner comme suit:

  1. L'URL est envoyée à la cible via le spear phishing, l'URL pointe vers un site Web d'hameçonnage contrôlé par un attaquant ressemblant à Google Gmail.
  2. L'utilisateur envoie ses identifiants au faux Gmail.
  3. (Hypothèse) L'attaquant entre les informations d'identification dans Gmail légitime et vérifie si un deuxième facteur est requis.
  4. La cible reçoit un deuxième facteur légitime.
  5. Phony Le site Gmail demande à la cible le deuxième facteur. La cible envoie le deuxième facteur.
  6. L'attaquant entre le deuxième facteur dans le site légitime et s'authentifie avec succès.

La seule façon que je peux voir pour me défendre contre cette attaque est de repérer le faux site comme étant une arnaque ou bloquant le site de phishing via des FW, des informations sur les menaces, etc.

enter image description here

Comme note, cela ne donnera à l'attaquant l'accès * cette fois *, puisque le code écouté expire après quelques secondes.
@XiongChiamiov Eh bien, la première étape après avoir obtenu l'accès est probablement de désactiver 2FA
Si l'on donne ses mots de passe, le site Web lui-même ne peut rien faire.Geolock peut-être mais ce serait un problème pour les gens qui voyagent
@cat - pas toujours une option.Au travail, nous utilisons itglue.com pour la documentation, sous licence d'un autre fournisseur de services, et les employés sont tenus d'utiliser 2FA.Les personnes qui utilisent 2FA n'ont accès à aucune option qui désactivera ce comportement.
@TOOGAM Oh, bien sûr, je pense plus à Google et Yahoo et aux systèmes non internes (et je suis prêt à parier qu'il existe des systèmes internes qui permettent de le désactiver)
@cat - juste pour clarifier (et je suis désolé d'avoir laissé ce détail; cela aurait été plus classe si je venais de le faire dans le commentaire précédent), le site Web que j'utilise me fait utiliser le programme Google Authenticater pour implémenter2FA.Nous utilisons donc le logiciel de Google (mais pas le site Web de Google).
Arrêtez de lire les fausses nouvelles sur les «hacks russes».
@Overmind Je suis plus intéressé par les détails du schéma décrit, que par les auteurs présumés d'un tel schéma.
Je pense à cela sous un autre angle, étant donné le contenu de votre message initial.Je dirais qu'une vulnérabilité dans ce cas est le téléphone.Si les enjeux sont importants et que vous investissez dans le matériel nécessaire, tout ce qui communique avec un téléphone peut être intercepté relativement facilement.Pour les utilisateurs normaux, leur conscience est importante.Une formation de base peut empêcher le phishing d'URL.
Je suis surpris que cela ne se soit pas encore produit: vérifiez le maudit verrou vert!Insérer votre mot de passe sur un site non https devrait être la première chose que vous ne faites jamais!
@BgrWorker Il y a toutes les chances que l'attaquant ait un certificat valide pour le faux domaine.Vraiment, la réponse que je recherche concerne la partie 2FA, plutôt que les techniques de détection ou de prévention du phishing.
C'est là que les cartes à puce sont utiles, car elles empêchent l'utilisateur de divulguer son deuxième secret (la clé privée côté client stockée sur la carte à puce).Cependant, seule une petite minorité de pays et d'entreprises semblent les utiliser.
Je suis intéressé par l'origine de l'image _Top Secret_!(Même si certains textes ont été expurgés.) Il est généralement considéré comme courtois d'attribuer vos images, surtout (enfin, peut-être pas) si elles sont marquées Top Secret.
@Freeman Cliquez sur le lien.
Ah, merci, @TheJulyPlot.J'ai manqué ce détail mineur (mais évident) ...
Pour info, juste parce que quelque chose a été obtenu par une publication ou un média, ne supprime pas automatiquement sa classification!Faites donc attention à ce que vous publiez.
Si 2FA ne fonctionne pas, il est temps d'utiliser 3FA (tel que mot de passe + jeton + empreinte digitale).
Je me demande ce qui est arrivé à la page 2 de 2.
Sept réponses:
D.W.
2017-06-08 04:18:59 UTC
view on stackexchange narkive permalink

Tous les schémas d'authentification à deux facteurs ne sont pas identiques. Certaines formes de 2FA, telles que l'envoi d'un message texte, ne sont pas protégées contre cette attaque. D'autres formes de 2FA, telles que FIDO U2F, sont sécurisées contre cette attaque - elles ont été délibérément conçues avec ce type d'attaque à l'esprit.

FIDO U2F fournit deux défenses contre l'homme-dans-le- attaque intermédiaire:

  1. Inscription - L'utilisateur enregistre son appareil U2F avec un site Web particulier ("origine"), tel que google.com . Ensuite, le dispositif U2F ne répondra qu'aux demandes d'authentification provenant d'une origine enregistrée; si l'utilisateur est amené à visiter goog1e.com (un site de phishing), l'U2F ne répondra pas à la demande, car il peut voir qu'il provient d'un site qu'il n'a pas été précédemment enregistré avec.

  2. ID de canal et liaison d'origine - U2F utilise l'extension d'ID de canal TLS pour empêcher les attaques man-in-the-middle et activez l'appareil U2F pour vérifier qu'il communique avec le même site Web que celui que l'utilisateur visite dans son navigateur Web. De plus, le périphérique U2F sait à quelle origine il pense parler et sa réponse d'authentification signée inclut une signature sur l'origine à laquelle il pense parler. Ceci est vérifié par le serveur. Ainsi, si l'utilisateur est sur goog1e.com et que cette page demande une authentification U2F, la réponse de l'appareil U2F indique que sa réponse n'est bonne que pour la communication avec goog1e.com - si l'attaquant tente de relayer cette réponse à google.com , Google peut remarquer que quelque chose ne va pas, car le mauvais nom de domaine est présent dans les données signées.

Ces deux fonctionnalités impliquent l'intégration entre le dispositif d'authentification à deux facteurs U2F et le navigateur de l'utilisateur. Cette intégration permet à l'appareil de savoir quel nom de domaine (origine) le navigateur visite, et cela permet à l'appareil de détecter ou d'empêcher le phishing et les attaques de type "man-in-the-middle".

En savoir plus sur ce mécanisme :

De nombreux jetons U2F n'ont pas de mémoire persistante et ne se soucient pas de savoir s'ils ont déjà été enregistrés pour ce site, ils répondront donc à chaque fois.Bien sûr, ils utilisent une paire de clés différente pour chaque site.
Cela semble être un problème majeur si vous essayez de vous connecter sur un smartphone ou une tablette, ou même une machine qui ne fait pas confiance à l'USB (par exemple, celle d'un client).C'est-à-dire que pour de nombreuses situations, l'effet sur la convivialité est trop important
@ChrisH [YubiKey NEO] (https://www.yubico.com/products/yubikey-hardware/yubikey-neo/) est double USB et NFC, vous permettant d'utiliser U2F sur les ordinateurs et les mobiles.C'est assez transparent sur Android.(Malheureusement, le jardin clos d'Apple ne prend pas en charge U2F sur NFC ...)
@D.W.Je crois que l'argument de Yay295 est que votre réponse prétend que U2F est conçu pour se défendre contre cette attaque mais n'explique pas clairement * comment *.Vous dites "l'appareil U2F ne répondra qu'aux demandes d'authentification d'une origine enregistrée", mais qu'est-ce qui empêche le site MITM malveillant de demander au site officiel de faire la demande?
@jamesdlin Je pense que le point clé est que real.com doit être ouvert * dans le navigateur des utilisateurs * pour que la clé correcte soit générée, donc l'étape 3 de Yay295 ne fonctionne pas.L'attaquant ne peut pas ouvrir une copie du site sur son propre téléphone, mais déclencher le dispositif cryptographique sur le téléphone de la cible;et une clé générée pour fake.com par le téléphone de la cible ne sera pas valide sur real.com.Cela fonctionne car il existe une communication directe entre le jeton de cryptage et le navigateur.
@jamesdlin Il explique cependant comment, au point 2. "le périphérique U2F sait à quelle origine il pense parler, et sa réponse d'authentification signée inclut une signature sur l'origine à laquelle il pense parler. Ceci est vérifié par le serveur."Si vous vous authentifiez sur un site de phishing avec le domaine g00gle.com, l'appareil U2F créera une signature qui n'est valable que pour g00gle.com.Le vrai google.com n'acceptera pas cette signature.
@Ajedi32 Cette partie n'explique toujours pas ce qui empêche le MITM de demander au site réel de demander une clé au périphérique U2F.Comment l'appareil U2F sait-il que le site de phishing est impliqué (c'est-à-dire ce que l'utilisateur observe actuellement)?L'explication d'IMSoP selon laquelle il existe une communication directe avec le navigateur semble être la partie cruciale.
@jamesdlin Oui, je suppose que cette réponse manque quelques informations d'introduction sur ce qu'est U2F.L'idée d'un attaquant "demandant au site réel de demander une clé à l'appareil U2F" est complètement absurde en ce qui concerne U2F, non seulement parce que cela ne fonctionnerait pas, mais parce qu'il n'est même pas possible pour le site réel de communiquer avecle périphérique U2F de l'utilisateur hors bande en premier lieu.L'authentification U2F se produit entièrement en bande.
Xander
2017-06-07 20:17:47 UTC
view on stackexchange narkive permalink

Hors bande, 2FA est la bonne approche. Cela signifie que vous avez un deuxième facteur qui ne peut pas être hameçonné, comme un certificat client ou FIDO U2F. Les codes ou les modèles 2FA basés sur SMS sont les options 2FA les plus faibles car ils sont dans la bande et, comme vous l'avez décrit, peuvent être hameçonnés tout comme les informations d'identification.

Ils sont pratiques car ils peuvent être utilisés par presque tout le monde, et ils sont certainement meilleurs que rien, mais la sécurité qu'ils fournissent ne doit jamais être confondue avec la sécurité fournie par 2FA hors bande.

Je ne suis pas sûr que "Out of band 2FA" soit vraiment le terme que vous recherchez ici.Les schémas 2FA basés sur TOTP et SMS _ sont_ hors bande, par définition.Ils ne résistent tout simplement pas au phishing car ils ne s'intègrent pas au navigateur de l'utilisateur comme le font U2F et les certificats clients.
L'attaque implique effectivement que l'utilisateur légitime remette * toutes * les informations d'identification à l'attaquant.Comment "hors bande 2FA" aide-t-il?Parlez-vous de quelque chose qui valide automatiquement à qui l'utilisateur donne ces informations d'identification?Pourriez-vous élaborer, s'il vous plaît?
Je pense que la terminologie correcte ne serait pas hors bande mais quelque chose qui ne peut pas être MITM.Le certificat client se qualifie à coup sûr, je ne sais pas si FIDO est sûr contre cela.
L'attaque ne fonctionne que parce que le deuxième facteur est envoyé via le même canal (la fausse page Gmail).Si le deuxième facteur est envoyé vraiment hors bande, par exemple, d'un téléphone directement à un site Web prédéfini (le site réel), cela atténue l'attaque.J'ai souvent pensé que c'était ainsi que les applications 2FA devraient vraiment fonctionner, plutôt que d'amener les utilisateurs à taper des nombres dans la même page de connexion.
Tout comme @adelphus le souligne, lors de l'utilisation de mécanismes tels que les SMS et l'authentificateur TOTP de Google, bien qu'ils fournissent effectivement le code hors bande, il est soumis dans la bande, exactement comme un mot de passe.C'est ce qui conduit à la vulnérabilité.
@jpmc26 Un mécanisme MFA entièrement hors bande aide en éliminant la capacité d'un attaquant à capturer le facteur supplémentaire et à le réutiliser.Pour un autre exemple, le système d'authentification par téléphone, où, après avoir entré mon nom d'utilisateur et mon mot de passe corrects, le système m'appelle sur un numéro de téléphone que j'ai enregistré.Je réponds et si j'entre le code PIN correct lors de l'appel téléphonique, je suis authentifié.Je n'entre pas le deuxième facteur directement dans le système, donc il ne peut pas être saisi par quelqu'un qui se fait passer pour le système.
@Xander Je ne vois pas en quoi il importe de savoir par quel canal le deuxième facteur est soumis.Si vous ne remarquez pas que vous êtes sur un faux site, vous répondrez avec plaisir à l'appel téléphonique et fournissez votre code PIN.C'est le système que ma banque utilise (sauf qu'il s'agit d'une boîte de dialogue "Entrer le code PIN" sur le téléphone plutôt que d'un véritable appel téléphonique).Si je mal orthographié l'adresse de la banque, alors le faux site peut accéder à la vraie banque en mon nom et déclencher 2FA, j'obtiendrai le dialogue comme je m'y attendais et entrerai mon code PIN (hors bande), puis l'attaquant sera donnéaccès.
Google a une version de 2FA où leurs serveurs envoient une notification à l'application Google sur votre téléphone.Vous ouvrez la fin de l'application, appuyez sur un bouton pour vous authentifier.Le deuxième facteur ne peut pas être MITM: ed, mais cela n'arrêterait pas du tout l'attaque décrite dans cette question.
@adelphus En ce qui concerne le phishing, peu importe que l'attaquant puisse MITM l'authentification du deuxième facteur ou non.Si l'attaquant lance une demande de connexion à votre banque et que vous autorisez cette session de connexion (indépendamment du fait que cette autorisation se produise ou non hors bande), l'attaquant aura accès à votre compte.U2F et les certificats client ne sont pas vulnérables à cette attaque, mais ce n'est pas parce qu'ils sont hors bande.En fait, avec ces deux schémas, le processus d'authentification se déroule réellement dans la bande.
Le 2FA de Blizzard serait-il un exemple d'authentificateur hors bande?Il s'agit d'une application pour téléphone, mais le site envoie une notification au téléphone, qui affiche une boîte de dialogue vous demandant si vous souhaitez approuver l'accès, et vous devez cliquer sur "oui" à l'invite, qui authentifie ensuite votre session Web.
@DoktorJ Oui, c'est hors bande.Cependant, il est toujours vulnérable au phishing;voir les autres commentaires positifs sur cette réponse.
@Ajedi32 Mon mauvais.J'aurais dû me rendre compte que le deuxième facteur ne fonctionne que s'il peut être mis en correspondance avec la session du navigateur de l'utilisateur.Le facteur n'a pas vraiment besoin de vous valider (c'est à cela que sert votre mot de passe) - il doit valider la * chose dans laquelle vous saisissez vos informations d'identification *.Merci pour l'explication.
Ferrybig
2017-06-08 11:18:14 UTC
view on stackexchange narkive permalink

C'est l'une des situations dans lesquelles un gestionnaire de mots de passe (dans le navigateur) vous aidera.

Étant donné qu'un gestionnaire de mots de passe stocke les mots de passe par leur URL réelle, il ne se remplira pas automatiquement dans la page de l'attaquant, ni même faire des suggestions. En plus de ne pas divulguer le jeton de mot de passe en 2 étapes, il protège également le mot de passe contre toute fuite.

Cette protection fonctionne encore mieux si l'utilisateur ne connaît pas son propre mot de passe et ne peut interagir que via le gestionnaire de mots de passe pour remplir le mot de passe.

Je ne pense pas avoir vu beaucoup de gestionnaires de mots de passe qui _ savent_ quelle URL est affichée (et encore moins des choses comme le statut de certificat TLS).
Google Smart Lock et l'extension Google Chrome Lastpass le font tous les deux pour moi
KeePass, en utilisant les addons PassIFox ou ChromeIPass, le fait également.Il remplit automatiquement les mots de passe si l'URL correspond.
et 1 mot de passe aussi :-)
Bien que ce ne soit pas une solution parfaite à 100% (repose toujours sur l'intelligence de l'utilisateur), c'est un excellent moyen d'alerter immédiatement l'utilisateur que quelque chose de louche se passe.Certainement une grande amélioration.+1
Vous ne voulez pas dire "quelque chose de phishy est en cours"?
Étant donné que cela nécessite un navigateur qui effectue le remplissage automatique, cela empêche la navigation en mode invité?
Tim X
2017-06-09 07:13:40 UTC
view on stackexchange narkive permalink

En fin de compte, si un attaquant peut vous tromper en fournissant toutes les informations d'identification, alors la partie est terminée. Peu importe le nombre de facteurs impliqués. Il y a des choses qui peuvent aider à limiter l'exposition, comme des délais d'expiration très courts pour les jetons qui empêchent un attaquant d'obtenir et de réutiliser le jeton dans le délai imparti. Cependant, les délais d'attente ont une protection limitée car il peut être difficile de trouver le bon équilibre, en particulier avec le `` faux '' 2FA, qui est devenu si répandu et où vous devez autoriser des retards de choses comme la livraison de SMS pour éviter les problèmes d'utilisabilité (j'ai vu cela en utilisant international services basés sur des services où la livraison des SMS peut être plus lente et le jeton expire avant que vous puissiez le recevoir et le saisir dans le navigateur).

De nombreux systèmes appelés 2FA ne sont pas vraiment 2FA du tout - ils le sont en fait 2SA (authentification en deux étapes). Dans le vrai 2FA, les facteurs sont quelque chose que vous connaissez (mot de passe) et quelque chose que vous avez (jeton, souvent basé sur le matériel). Les schémas qui impliquent un code envoyé par SMS ne sont PAS 2FA, ils sont 2SA - vous n'avez pas réellement le jeton - il vous est envoyé. Comme c'est quelque chose qui vous est envoyé, il existe de nouveaux vecteurs de menace, comme la redirection du numéro de téléphone portable, etc. C'est l'une des raisons pour lesquelles le NIST a désapprouvé les jetons basés sur SMS comme processus d'authentification fiable.

Avec respect à la question spécifique des OP, la seule protection fiable est de pouvoir détecter la page de phishing. Google a publié une extension Chrome pour essayer de vous aider. L'extension vous avertira si elle détecte que vous fournissez vos informations d'identification Google à une page qui n'est pas une page Google.

Le gros problème est que nous avons passé des années à enseigner aux gens à rechercher le "cadenas vert" dans les URL afin de garantir que la page est légitime. Malheureusement, des efforts tels que Lets Encrypt ont maintenant facilité l'obtention de certificats de domaine vérifiés, de sorte que beaucoup de ces pages de phishing auront désormais le cadenas vert. Cela ne veut pas dire que le problème est dû à Lets Encrypt - c'est une très bonne initiative. Le problème est en partie dû aux faiblesses de l'infrastructure PKI, mais principalement à la sensibilisation et à la compréhension des utilisateurs. En général, les gens ne comprennent pas PKI et comment vérifier qu'un certificat est légitime pour le site et que le site est le site qu'ils pensent être. Pour aggraver les choses, même si vous comprenez, les étapes / temps nécessaires pour effectuer cette vérification sont souvent peu pratiques ou tout simplement trop difficiles, donc les gens ne le font pas. La situation est aggravée par les mauvais acteurs qui trouvent des moyens de rendre les choses légitimes - par exemple, un exploit récent utilise des faiblesses dans la façon dont les navigateurs affichent les URL et les caractères Unicode pour générer une URL qui s'affiche dans la barre d'adresse d'une manière qui, à un glance semble correct, mais les caractères réels de l'URL indiquent un site de phishing. L'utilisateur regarde la barre d'adresse, voit un cadenas vert et jette un coup d'œil à l'URL qui semble correcte (votre cerveau remplira même les choses pour que la correspondance soit meilleure!) Et accepte la page comme légitime. Vous ne remarquez pas d'espaces supplémentaires entre les caractères ni de formes de caractères légèrement étranges.

Alors, comment nous protégeons-nous contre cela? Malheureusement, il n'y a pas un seul "faites ceci et vous serez en sécurité". Certains gestionnaires de mots de passe peuvent vous aider car ils ne fourniront les informations d'identification que si l'URL est correcte, n'utilisez jamais d'URL dans les messages électroniques - saisissez-la toujours vous-même ou utilisez un signet que vous avez créé. Supposons qu'à un moment donné, vous serez dupé et adopterez des pratiques qui limiteront les dommages quand ils se produiront, c'est-à-dire des mots de passe différents pour chaque site, utilisez le 2FA basé sur le matériel lorsque cela est possible, cliquez sur le bouton des détails du certificat pour les sites à «haute valeur» et regardez ce que il dit et à qui le certificat est enregistré, assurez-vous que votre système dispose de toutes les mises à jour et que vous utilisez la version de navigateur la plus récente, etc., soyez méfiant par nature et rappelez-vous que la grande menace est l'ingénierie sociale, alors méfiez-vous de tout ce qui exerce des pressions vous devez agir sur la base de la peur, de la culpabilité, des récompenses ou des punitions. Ce sont des motivateurs très efficaces et les acteurs de la menace comptent sur eux. Les campagnes de phishing sont devenues beaucoup plus sophistiquées dans leur mise en œuvre, mais au fond, elles reposent toujours sur la manipulation émotionnelle - une promesse de quelque chose de merveilleux ou une menace de quelque chose de terrible.

Enfin, si vous êtes tenté de commenter en raison de ma mention des gestionnaires de mots de passe, veuillez ne pas le faire. Oui, il y a des risques avec les gestionnaires de mots de passe et oui, certains sont pires que d'autres. Cependant, en général, un bon gestionnaire de mots de passe utilisé correctement fournira généralement plus de protection à l'utilisateur moyen que son processus actuel de gestion des mots de passe. Oui, si le gestionnaire de mots de passe est compromis, alors tous vos mots de passe sont compromis. Cependant, de nombreuses personnes trouvent la gestion des mots de passe trop difficile et utilisent de toute façon le même mot de passe, souvent faible, sur tous les sites. Une fois qu'un site est compromis, tous ses sites sont compromis. Évidemment, si vous comprenez la technologie et que vous comprenez les mots de passe, le hachage, etc., vous pouvez probablement trouver une solution plus sécurisée, mais vous n'êtes pas le public des gestionnaires de mots de passe. Pensez à la manière dont vos parents ou grands-parents gèrent la gestion des mots de passe et à quel point ils détectent les sites de phishing ou comprennent les certificats, puis réfléchissez à la facilité avec laquelle ils peuvent gérer votre gestion de mot de passe GPG personnalisée via cfile ou synchronisation.

MODIFIER : En relisant ma réponse, je ne suis pas sûr d'avoir suffisamment insisté sur le fait que le vrai 2FA est de plus en plus disponible et que de nombreux fournisseurs qui prennent actuellement en charge le 2SA moins sécurisé avec des codes SMS prennent également en charge un 2FA beaucoup plus sécurisé, utilisant dans de nombreux cas U2F ( comme mentionné dans d'autres réponses). Les «touches» matérielles de Yubico ou duo (et autres) sont bon marché et faciles à installer / utiliser. Ma seule recommandation est que si vous décidez d'emprunter la route du jeton / clé matériel, assurez-vous d'obtenir deux clés, enregistrez-les toutes les deux et rangez une clé dans un endroit sécurisé. J'en ai un que j'emporte avec moi et un que j'ai dans un coffre-fort à la maison. La récupération d'une clé perdue / endommagée n'est pas aussi simple que la récupération d'un mot de passe oublié, vous voulez donc éviter autant que possible de vous retrouver dans cette situation.

[Cleaver] (https://en.wikipedia.org/wiki/Cleaver) Les mauvais acteurs ne phishing pas les mots de passe, ils travaillent sur des films de terreur / comédie de niveau C (omg [Butcher] (http: //diablo.wikia.com / wiki / The_Butcher) vient de prendre sa propre main).XD
Cleaver LOL.Je vais laisser cette faute de frappe.Je pense que nous devrions définir un nouveau terme "acteur de couperet" aka "mauvais acteur intelligent"
Dans la 2FA basée sur SMS, «ce que vous avez» est une carte SIM.
Non, pas vraiment.La carte SIM n'est pas pertinente car elle ne fait pas partie de l'authz.Pire encore, il est trivial d'utiliser un peu d'ingénierie sociale pour que les messages SMS soient redirigés vers un autre numéro (une carte SIM différente), ce qui est exactement la façon dont certains des hacks les plus médiatisés de 2FA basés sur SMS ont fonctionné.Pour un vrai 2FA, le deuxième facteur doit être quelque chose que vous avez et directement utilisé dans le processus d'authz.La carte SIM est accessoire à ce processus.
@TimX Ne pourriez-vous pas dire aussi facilement que TOTP n'est pas non plus "ce que vous avez", car un attaquant pourrait éventuellement cloner la graine de votre téléphone?Ce n'est pas parce que le 2FA basé sur SMS est faible contre certaines attaques de canal secondaire / d'ingénierie sociale qu'il ne s'agit pas du tout de 2FA.
@ajedi32 la différence est que le code SMS n'est pas basé sur tout ce que vous avez.Le code n'est pas dérivé des données que vous avez, il ne s'agit donc pas de 2FA.Il ne s'agit que d'une deuxième étape d'authentification - le code est entièrement déterminé par le service auquel vous accédez.Dans 2FA, le deuxième facteur est quelque chose que vous avez ou dérivé de quelque chose que vous avez.Les codes SMS simples ne sont pas basés sur quelque chose que vous avez et ne sont donc pas 2FA par définition.La plupart des faiblesses associées aux codes SMS sont dues au fait qu'ils ne sont pas basés sur quelque chose que vous possédez et c'est pourquoi le NIST les a désapprouvés.
djsmiley2kStaysInside
2017-06-08 17:19:44 UTC
view on stackexchange narkive permalink

Comme indiqué dans les commentaires, ce n'est pas une bonne façon de faire les choses.

Inversez complètement le test.

Dans ce cas, vous êtes sûr que le téléphone mobile de l'utilisateur est «sûr», utilisez-le pour les authentifier. Lorsque l'utilisateur tente de se connecter au site Web, vous faites une demande au téléphone pour qu'il accepte cette connexion (via une notification push, idéalement directement à l'application, pas par sms ou par courrier électronique, car ceux-ci peuvent facilement être violés). "Vous semblez vous connecter depuis IP x.y.z / geolocation foobar - voulez-vous continuer?"

Vous pouvez également leur demander de fournir un certificat qui existe sur le téléphone, mais pas sur l'ordinateur. De cette façon, «l'attaquant» ne peut pas accéder à ces informations simplement en réussissant à rediriger l'utilisateur vers le mauvais site.

Cela ne fonctionnera pas.L'utilisateur verra "Vous semblez vous connecter depuis IP xyz / geolocation foobar" et pense que _ils_ ont lancé cette demande, car ils essaient actuellement de se connecter à ce qu'ils _ pensent_ être le site légitime alors qu'en réalité il s'agit d'un site de phishing.Une fois qu'il a approuvé la demande de connexion, l'attaquant aura alors accès à son compte.
Ah oui, bon point.Hmm.Retour à la planche à dessin !:) Laisser ceci ici comme une 'mauvaise' réponse
Je ne sais pas, si vous fournissez les informations de géolocalisation, et que vous dites "Vous semblez vous connecter depuis IP x.y.z / Onestia, Roumanie" et que vous êtes assis à votre bureau à Anytown USA, cela va soulever un drapeau rouge.Ce sera étrange pour les personnes utilisant des proxys d'entreprise (c'est-à-dire où je travaille, mon adresse IP apparaît en VA pendant que je vis / travaille à MA) mais cela devrait être plus facile à comprendre car la plupart des gens savent où leur entreprise a son siège et iront"Oh oui, je travaille pour Acme qui a son siège en VA, c'est pourquoi il pense que je me connecte depuis VA" (ou un technophile à proximité sera peut-être heureux de le leur signaler)
@Ajedi32, Je pense que le bit de géolocalisation est ce qui rend cela réalisable, tout comme Doktor J le souligne ci-dessus.
@DoktorJ Eh, je doute un peu que compter sur les utilisateurs pour vérifier la géolocalisation serait plus efficace que de compter sur eux pour vérifier le domaine du site sur lequel ils se trouvent.Sans oublier que les attaquants pourraient facilement usurper l'emplacement affiché à l'aide d'un proxy ou de Tor.
Désolé, j'aurais dû signaler que la géolocalisation ferait partie de la vérification en premier lieu.
John Wu
2017-06-12 14:35:28 UTC
view on stackexchange narkive permalink

Cette attaque est appelée phishing . Toute la sécurité dans le monde ne servira à rien si vous pouvez tromper un utilisateur final en lui donnant volontairement ses informations d'identification.

Les mesures d'atténuation contre le phishing incluent:

  1. Les serveurs de messagerie peuvent nettoyer les e-mails à la recherche de liens vers des sites de phishing connus.

  2. Les clients de messagerie désactivent souvent les liens par défaut et fournissent un avertissement lors de l'activation.

  3. Les utilisateurs doivent éviter de cliquer sur les liens trouvés dans les e-mails. Il est souvent plus sûr de saisir l'adresse.

  4. Les utilisateurs ne doivent jamais accéder à un site sensible (par exemple, un site bancaire) via un lien depuis n'importe où. Utilisez un signet ou saisissez-le.

  5. Contrairement à certaines idées reçues, les utilisateurs devraient utiliser des gestionnaires de mots de passe pour les sites sensibles. Un gestionnaire de mots de passe ne vous permettra pas de fournir un mot de passe au mauvais site.

Tous les bons points.Cette question s'adressait cependant davantage à la partie 2FA.
WBT
2017-06-25 02:15:45 UTC
view on stackexchange narkive permalink

En complément des autres réponses, ce type d'attaque peut être entravé si le site s'authentifie auprès de l ' utilisateur de sorte que l'utilisateur a l'habitude d'obtenir un un signal plus fort indiquant qu'ils entrent des informations d'identification sur une page authentique, même s'ils n'utilisent pas de gestionnaire de mots de passe ou ne prêtent pas une attention toute particulière à l'URL. Cela se fait généralement avec une image de sécurité sélectionnée par l'utilisateur (à partir d'un grand ensemble d'options) plus une chaîne de texte définie par l'utilisateur. Il est présenté après la saisie du nom d'utilisateur mais avant le mot de passe (qui se répartit sur deux pages). Ce n'est pas totalement infaillible (vous devez empêcher les attaquants d'obtenir l'image / la chaîne par une simple requête en masse), mais il est conçu pour lutter contre le phishing, et cela rend le phishing réussi un peu plus difficile à réussir. Si les attaquants tentent de récupérer des images / chaînes de sécurité, ces demandes peuvent également indiquer au fournisseur de services authentique que quelque chose ne va pas et fournir des informations médico-légales sur l'origine de ces demandes.

La question de savoir si cela fonctionne dans la pratique ou non est une autre question, et les preuves d'un article de 2007 suggèrent pas, du moins pour la plupart des utilisateurs.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Continuer la lecture sur narkive:
Résultats de recherche pour 'Attaquant contournant 2FA. Comment se défendre?' (Questions et réponses)
48
réponses
D'où sort cette haine envers N.Sarkozy?
démarré 2006-11-16 09:50:41 UTC
Élections
Loading...