Bạn có thể nghĩ rằng việc bật xác thực hai yếu tố trên tài khoản của mình sẽ giúp tài khoản của bạn an toàn 100%. Xác thực hai yếu tố^{(Two-factor authentication)} là một trong những phương pháp tốt nhất để bảo vệ tài khoản của bạn. Nhưng bạn có thể ngạc nhiên khi biết rằng tài khoản của mình có thể bị xâm nhập mặc dù đã bật xác thực hai yếu tố. Trong bài viết này, chúng tôi sẽ cho bạn biết các cách khác nhau mà kẻ tấn công có thể bỏ qua xác thực hai yếu tố.

Xác thực^{(Authentication)} hai yếu tố (2FA) là gì?

Trước khi bắt đầu, hãy xem 2FA là gì. Bạn biết rằng bạn phải nhập mật khẩu để đăng nhập vào tài khoản của mình. Nếu không có mật khẩu chính xác, bạn không thể đăng nhập. 2FA là quá trình thêm một lớp bảo mật bổ sung vào tài khoản của bạn. Sau khi kích hoạt nó, bạn không thể đăng nhập vào tài khoản của mình chỉ bằng cách nhập mật khẩu. Bạn phải hoàn thành một bước bảo mật nữa. Điều này có nghĩa là trong 2FA, trang web xác minh người dùng trong hai bước.

Đọc^(Read) : Cách Bật Xác minh 2 bước trong Tài khoản Microsoft^{(How to Enable 2-step Verification in Microsoft Account)} .

2FA hoạt động như thế nào?

Chúng ta hãy hiểu nguyên tắc hoạt động của xác thực hai yếu tố. 2FA yêu cầu bạn xác minh bản thân hai lần. Khi bạn nhập tên người dùng và mật khẩu của mình, bạn sẽ được chuyển hướng đến một trang khác, nơi bạn phải cung cấp bằng chứng thứ hai rằng bạn là người thực đang cố gắng đăng nhập. Trang web có thể sử dụng bất kỳ phương pháp xác minh nào sau đây:

OTP (Mật khẩu dùng một lần)

Sau khi nhập mật khẩu, trang web sẽ yêu cầu bạn tự xác minh bằng cách nhập mã OTP được gửi trên số điện thoại di động đã đăng ký của bạn. Sau khi nhập đúng mã OTP , bạn có thể đăng nhập vào tài khoản của mình.

Thông báo nhanh chóng

Thông báo nhanh chóng được hiển thị trên điện thoại thông minh của bạn nếu nó được kết nối với internet. Bạn phải tự xác minh bằng cách nhấn vào nút “ Có^(Yes) ”. Sau đó, bạn sẽ đăng nhập vào tài khoản của mình trên PC.

Mã dự phòng

Mã dự^(Backup) phòng hữu ích khi hai phương pháp xác minh trên không hoạt động. Bạn có thể đăng nhập vào tài khoản của mình bằng cách nhập bất kỳ mã dự phòng nào mà bạn đã tải xuống từ tài khoản của mình.

Ứng dụng Authenticator

Trong phương pháp này, bạn phải kết nối tài khoản của mình với một ứng dụng xác thực. Bất cứ khi nào bạn muốn đăng nhập vào tài khoản của mình, bạn phải nhập mã hiển thị trên ứng dụng xác thực được cài đặt trên điện thoại thông minh của bạn.

Có một số phương pháp xác minh khác mà một trang web có thể sử dụng.

Đọc^(Read) : Cách Thêm xác minh hai bước vào tài khoản Google của bạn^{(How To Add Two-step Verification To Your Google Account)} .

Cách tin tặc có thể sử dụng Xác thực hai yếu tố^{(Two-factor Authentication)}

Không nghi ngờ gì nữa, 2FA giúp tài khoản của bạn an toàn hơn. Nhưng vẫn có nhiều cách mà hacker có thể vượt qua lớp bảo mật này.

1] Đánh cắp cookie^{(Cookie Stealing)} hoặc chiếm quyền điều khiển phiên^{(Session Hijacking)}

Đánh cắp cookie hoặc chiếm quyền điều khiển phiên^{(Cookie stealing or session hijacking)} là phương pháp đánh cắp cookie phiên của người dùng. Một khi hacker thành công trong việc đánh cắp cookie phiên, anh ta có thể dễ dàng bỏ qua xác thực hai yếu tố. Những kẻ tấn công biết nhiều phương pháp chiếm quyền điều khiển, như cố định phiên, đánh hơi phiên, viết mã trang web chéo, tấn công phần mềm độc hại, v.v. Evilginx là một trong những khuôn khổ phổ biến mà tin tặc sử dụng để thực hiện một cuộc tấn công trung gian. Trong phương pháp này, tin tặc sẽ gửi một liên kết lừa đảo đến người dùng để đưa anh ta đến trang đăng nhập proxy. Khi người dùng đăng nhập vào tài khoản của mình bằng 2FA, Evilginx nắm bắt thông tin đăng nhập cùng với mã xác thực. Kể từ khi OTPhết hạn sau khi sử dụng nó và cũng có giá trị trong một khung thời gian cụ thể, không có tác dụng gì trong việc chụp mã xác thực. Nhưng tin tặc có cookie phiên của người dùng, mà anh ta có thể sử dụng để đăng nhập vào tài khoản của mình và bỏ qua xác thực hai yếu tố.

2] Tạo mã trùng lặp

Nếu bạn đã sử dụng ứng dụng Google Authenticator , bạn biết rằng ứng dụng này tạo mã mới sau một thời gian cụ thể. Google Authenticator và các ứng dụng xác thực khác hoạt động trên một thuật toán cụ thể. Các trình tạo mã ngẫu nhiên^(Random) thường bắt đầu bằng một giá trị gốc để tạo ra số đầu tiên. Sau đó, thuật toán sử dụng giá trị đầu tiên này để tạo ra các giá trị mã còn lại. Nếu hacker có thể hiểu được thuật toán này, anh ta có thể dễ dàng tạo một đoạn mã trùng lặp và đăng nhập vào tài khoản của người dùng.

3] Lực lượng vũ phu

Brute Force là một kỹ thuật để tạo ra tất cả các kết hợp mật khẩu có thể có. Thời gian bẻ khóa mật khẩu bằng vũ lực phụ thuộc vào độ dài của mật khẩu. Mật khẩu càng dài thì càng mất nhiều thời gian để bẻ khóa. Nói chung, các mã xác thực có độ dài từ 4 đến 6 chữ số, tin tặc có thể thử một cách thô bạo để vượt qua 2FA. Nhưng ngày nay, tỷ lệ thành công của các cuộc tấn công vũ phu ít hơn. Điều này là do mã xác thực chỉ có hiệu lực trong một thời gian ngắn.

4] Kỹ thuật xã hội

Social Engineering là kỹ thuật mà kẻ tấn công cố gắng đánh lừa tâm trí người dùng và buộc anh ta nhập thông tin đăng nhập của mình trên một trang đăng nhập giả mạo. Bất kể kẻ tấn công có biết tên người dùng và mật khẩu của bạn hay không, hắn vẫn có thể bỏ qua xác thực hai yếu tố. Thế nào? Hãy xem nào:

Hãy xem xét trường hợp đầu tiên mà kẻ tấn công biết tên người dùng và mật khẩu của bạn. Anh ấy không thể đăng nhập vào tài khoản của bạn vì bạn đã bật 2FA. Để lấy mã, anh ta có thể gửi cho bạn một email với một liên kết độc hại, khiến bạn lo sợ rằng tài khoản của bạn có thể bị tấn công nếu bạn không thực hiện hành động ngay lập tức. Khi bạn nhấp vào liên kết đó, bạn sẽ được chuyển hướng đến trang của hacker bắt chước tính xác thực của trang web gốc. Khi bạn nhập mật mã, tài khoản của bạn sẽ bị tấn công.

Bây giờ, hãy xem một trường hợp khác trong đó hacker không biết tên người dùng và mật khẩu của bạn. Một lần nữa^(Again) , trong trường hợp này, anh ta gửi cho bạn một liên kết lừa đảo và đánh cắp tên người dùng và mật khẩu của bạn cùng với mã 2FA.

5] OAuth

Tích hợp OAuth^(OAuth) cung cấp cho người dùng một cơ sở để đăng nhập vào tài khoản của họ bằng tài khoản của bên thứ ba. Đây là một ứng dụng web có uy tín sử dụng mã thông báo ủy quyền để chứng minh danh tính giữa người dùng và nhà cung cấp dịch vụ. Bạn có thể coi OAuth là một cách thay thế để đăng nhập vào tài khoản của mình.

Cơ chế OAuth hoạt động theo cách sau:

1. Trang web A yêu cầu Trang web B^{(Site B)} (ví dụ: Facebook ) cho một mã thông báo xác thực.
2. Trang web B^{(Site B)} cho rằng yêu cầu được tạo bởi người dùng và xác minh tài khoản của người dùng.
3. Sau đó, trang web B^{(Site B)} sẽ gửi một mã gọi lại và cho phép kẻ tấn công đăng nhập.

Trong các quy trình trên, chúng tôi đã thấy rằng kẻ tấn công không yêu cầu xác minh bản thân thông qua 2FA. Nhưng để cơ chế bỏ qua này hoạt động, hacker phải có tên người dùng và mật khẩu tài khoản của người dùng.

Đây là cách tin tặc có thể vượt qua xác thực hai yếu tố của tài khoản người dùng.

Làm thế nào để ngăn chặn việc bỏ qua 2FA?

Tin tặc thực sự có thể bỏ qua xác thực hai yếu tố, nhưng trong mỗi phương pháp, chúng cần sự đồng ý của người dùng mà chúng nhận được bằng cách lừa họ. Nếu không lừa người dùng, việc bỏ qua 2FA là không thể. Do đó^(Hence) , bạn nên lưu ý những điểm sau:

• Trước khi nhấp vào bất kỳ liên kết nào, vui lòng kiểm tra tính xác thực của nó. Bạn có thể thực hiện việc này bằng cách kiểm tra địa chỉ email của người gửi.
• Tạo một mật khẩu mạnh^{(Create a strong password)} có sự kết hợp của các bảng chữ cái, số và ký tự đặc biệt.
• Chỉ sử dụng^(Use) các ứng dụng xác thực chính hãng, chẳng hạn như trình xác thực Google , trình xác thực Microsoft , v.v.
• Tải xuống^(Download) và lưu các mã dự phòng ở một nơi an toàn.
• Đừng bao giờ tin tưởng vào các email lừa đảo mà tin tặc sử dụng để đánh lừa tâm trí của người dùng.
• Không chia sẻ mã bảo mật với bất kỳ ai.
• Thiết lập^(Setup) khóa bảo mật trên tài khoản của bạn, một giải pháp thay thế cho 2FA.
• Tiếp tục thay đổi mật khẩu của bạn thường xuyên.

Đọc^(Read) : Mẹo để ngăn chặn tin tặc xâm nhập vào máy tính Windows của bạn^{(Tips to Keep Hackers out of your Windows computer)} .

Sự kết luận

Xác thực hai yếu tố là một lớp bảo mật hiệu quả giúp bảo vệ tài khoản của bạn khỏi bị tấn công. Tin tặc luôn muốn có cơ hội vượt qua 2FA. Nếu bạn biết các cơ chế hack khác nhau và thay đổi mật khẩu thường xuyên, bạn có thể bảo vệ tài khoản của mình tốt hơn.

How Hackers can get around Two-factor Authentication

You may think that enabling two-factor authenticatiоn on your account makes it 100% secure. Two-factor authentication is among the best methods to protect your account. But you may be surprised to hear that your account can be hijacked despite enabling two-factor authentication. In this article, we will tell you the different ways by which attackers can bypass two-factor authentication.

What is Two-factor Authentication (2FA)?

Before we begin, let’s see what 2FA is. You know that you have to enter a password to log into your account. Without the correct password, you cannot log in. 2FA is the process of adding an extra security layer to your account. After enabling it, you cannot log into your account by entering the password only. You have to complete one more security step. This means in 2FA, the website verifies the user in two steps.

Read: How to Enable 2-step Verification in Microsoft Account.

How Does 2FA Work?

Let’s understand the working principle of two-factor authentication. The 2FA requires you to verify yourself two times. When you enter your username and password, you will be redirected to another page, where you have to provide a second proof that you are the real person trying to log in. A website can use any of the following verification methods:

OTP (One Time Password)

After entering the password, the website tells you to verify yourself by entering the OTP sent on your registered mobile number. After entering the correct OTP, you can log into your account.

Prompt Notification

Prompt notification is displayed on your smartphone if it is connected to the internet. You have to verify yourself by tapping on the “Yes” button. After that, you will be logged into your account on your PC.

Backup Codes

Backup codes are useful when the above two methods of verification won’t work. You can log into your account by entering any one of the backup codes you have downloaded from your account.

Authenticator App

In this method, you have to connect your account with an authenticator app. Whenever you want to log into your account, you have to enter the code displayed on the authenticator app installed on your smartphone.

There are several more methods of verification that a website can use.

Read: How To Add Two-step Verification To Your Google Account.

How Hackers can get around Two-factor Authentication

Undoubtedly, 2FA makes your account more secure. But there are still many ways by which hackers can bypass this security layer.

1] Cookie Stealing or Session Hijacking

Cookie stealing or session hijacking is the method of stealing the session cookie of the user. Once the hacker gets success in stealing the session cookie, he can easily bypass the two-factor authentication. Attackers know many methods of hijacking, like session fixation, session sniffing, cross-site scripting, malware attack, etc. Evilginx is among the popular frameworks that hackers use to perform a man-in-the-middle attack. In this method, the hacker sends a phishing link to the user that takes him to a proxy login page. When the user logs into his account using 2FA, Evilginx captures his login credentials along with the authentication code. Since the OTP expires after using it and also valid for a particular time frame, there is no use in capturing the authentication code. But the hacker has the user’s session cookies, which he can use to log into his account and bypass the two-factor authentication.

2] Duplicate Code Generation

If you have used the Google Authenticator app, you know that it generates new codes after a particular time. Google Authenticator and other authenticator apps work on a particular algorithm. Random code generators generally start with a seed value to generate the first number. The algorithm then uses this first value to generate the remaining code values. If the hacker is able to understand this algorithm, he can easily create a duplicate code and log into the user’s account.

3] Brute Force

Brute Force is a technique to generate all the possible password combinations. The time for cracking a password using brute force depends on its length. The longer the password is, the more time it takes to crack it. Generally, the authentication codes are from 4 to 6 digits long, hackers can try a brute force attempt to bypass the 2FA. But today, the success rate of brute force attacks is less. This is because the authentication code remains valid only for a short period.

4] Social Engineering

Social Engineering is the technique in which an attacker tries to trick the user’s mind and forces him to enter his login credentials on a fake login page. No matter whether the attacker knows your username and password or not, he can bypass the two-factor authentication. How? Let’s see:

Let’s consider the first case in which the attacker knows your username and password. He cannot log into your account because you have enabled 2FA. To get the code, he can send you an email with a malicious link, creating a fear in you that your account can be hacked if you do not take immediate action. When you click on that link, you will be redirected to the hacker’s page that mimics the authenticity of the original webpage. Once you enter the passcode, your account will be hacked.

Now, let’s take another case in which the hacker does not know your username and password. Again, in this case, he sends you a phishing link and steals your username and password along with the 2FA code.

5] OAuth

OAuth integration provides users with a facility to log into their account using a third-party account. It is a reputed web application that uses authorization tokens to prove identity between the users and service providers. You can consider OAuth an alternate way to log into your accounts.

An OAuth mechanism works in the following way:

1. Site A requests Site B (e.g. Facebook) for an authentication token.
2. Site B considers that the request is generated by the user and verifies the user’s account.
3. Site B then sends a callback code and lets the attacker sign in.

In the above processes, we have seen that the attacker does not require to verify himself via 2FA. But for this bypass mechanism to work, the hacker should have the user’s account username and password.

This is how hackers can bypass the two-factor authentication of a user’s account.

How to prevent 2FA bypassing?

Hackers can indeed bypass the two-factor authentication, but in each method, they need the users’ consent which they get by tricking them. Without tricking the users, bypassing 2FA is not possible. Hence, you should take care of the following points:

• Before clicking on any link, please check its authenticity. You can do this by checking the sender’s email address.
• Create a strong password that contains a combination of alphabets, numbers, and special characters.
• Use only genuine authenticator apps, like Google authenticator, Microsoft authenticator, etc.
• Download and save the backup codes at a safe place.
• Never trust phishing emails that hackers use to trick the users’ minds.
• Do not share security codes with anyone.
• Setup security key on your account, an alternative to 2FA.
• Keep changing your password regularly.

Read: Tips to Keep Hackers out of your Windows computer.

Conclusion

Two-factor authentication is an effective security layer that protects your account from hijacking. Hackers always want to get a chance to bypass 2FA. If you are aware of different hacking mechanisms and change your password regularly, you can protect your account better.

Related posts

• Làm thế nào để kích hoạt tính năng Two-Factor Authentication trong Discord

• Cách thiết lập chính xác các tùy chọn khôi phục và sao lưu để xác thực hai yếu tố

• Cách cài đặt Drupal bằng WAMP trên Windows

• Best Software & Hardware Bitcoin Wallets cho Windows, iOS, Android

• Setup Internet Radio Station miễn phí trên Windows PC

• Nine Nostalgic Tech Sounds Có lẽ bạn chưa nghe thấy trong nhiều năm

• là gì Big Data - Một Giải thích đơn giản với Example

• Mẹo mua sắm Cyber Monday & Black Friday Sale bạn muốn theo dõi

• Đã xảy ra lỗi trong khi kiểm tra các bản cập nhật trong VLC

• Online Reputation Management Tips, Tools & Services

• Hộp Disqus comment không tải hoặc hiển thị cho một trang web

• Best Laptop Backpacks cho Men and Women

• Mang theo Device (BYOD) Advantages, Best Practices, v.v

• Sự khác biệt giữa Analog, Digital and Hybrid computers

• Zip file là lỗi quá lớn khi tải tệp từ DropBox

• Cách sử dụng Template để tạo tài liệu với LibreOffice

• Các tính năng tốt nhất trong LibreOffice Calc

• Cách xóa Your LastPass Account

• Các công cụ tốt nhất để gửi SMS miễn phí khỏi máy tính của bạn

• Cách tạo SSL Certificates tự ký tự ký vào Windows 10