Vraag:
Aanvaller die 2FA omzeilt. Hoe verdedigen?
TheJulyPlot
2017-06-07 20:08:39 UTC
view on stackexchange narkive permalink

Gedetailleerd in de nieuwste NSA-dump is een methode die naar verluidt door de Russische inlichtingendienst is gebruikt om 2FA te omzeilen. (In dit geval Google 2FA met als tweede factor een code.)

Het is een vrij voor de hand liggend schema en een schema dat, naar ik weet, regelmatig moet worden gebruikt. Het lijkt als volgt te werken:

  1. De URL wordt naar het doelwit gestuurd via spear phishing, de URL verwijst naar een door de aanvaller beheerde phishingwebsite die lijkt op Google Gmail.
  2. De gebruiker stuurt inloggegevens naar de valse Gmail.
  3. (Aanname) Aanvaller voert inloggegevens in legitieme Gmail in en controleert of een tweede factor vereist is.
  4. Doelwit ontvangt legitieme tweede factor.
  5. Nep Gmail-site vraagt ​​doelwit voor tweede factor. Doelwit stuurt tweede factor.
  6. Aanvaller voert tweede factor in legitieme site in en verifieert met succes.

De enige manier waarop ik kan zien om mij tegen deze aanval te verdedigen, is door de neppe site als een scam of het blokkeren van de phishing-site via FW's, bedreigingsinformatie enz.

Is er een andere praktische manier om je tegen een dergelijk plan te verdedigen?

enter image description here

Let op: dit geeft de aanvaller alleen * deze keer * toegang, aangezien de afgeluisterde code na een paar seconden verloopt.
@XiongChiamiov Nou, vermoedelijk is de eerste stap na het verkrijgen van toegang het uitschakelen van 2FA
Als iemand zijn wachtwoorden weggeeft, is er niets dat de website zelf kan doen.Geolock misschien, maar dat zou een probleem zijn voor mensen die reizen
@cat - niet altijd een optie.Op het werk gebruiken we itglue.com voor documentatie, gelicentieerd via een andere serviceprovider, en de werknemers zijn verplicht om 2FA te gebruiken.De mensen die 2FA gebruiken, hebben geen toegang tot een optie die dat gedrag uitschakelt.
@TOOGAM Oh, natuurlijk, ik denk meer aan Google en Yahoo en niet-interne systemen (en ik durf te wedden dat er interne systemen zijn waarmee het kan worden uitgeschakeld)
@cat - alleen om te verduidelijken (en het spijt me dat ik dit detail heb weggelaten; het zou classier zijn geweest als ik dit net in de eerdere opmerking had gedaan), de website die ik gebruik, laat me het Google Authenticater-programma gebruiken om te implementeren2FA.We gebruiken dus de software van Google (maar niet de website van Google).
Stop met het lezen van nepnieuws over 'Russische hacks'.
@Overmind Ik ben meer geïnteresseerd in de details van het geschetste plan dan in de vermeende daders van een dergelijk plan.
Ik denk hier vanuit een andere hoek aan, gezien de inhoud van je eerste bericht.Ik zou zeggen dat een kwetsbaarheid in dit geval de telefoon is.Als er veel op het spel staat en je hebt geïnvesteerd in de benodigde hardware, kan alles wat met een telefoon communiceert relatief eenvoudig worden onderschept.Voor normale gebruikers is hun bewustzijn belangrijk.Basistraining kan URL-phishing voorkomen.
Het verbaast me dat dit nog niet is gebeurd: controleer het verdomde groene slot!Het invoeren van uw wachtwoord op een niet-https-site zou het eerste moeten zijn dat u nooit doet!
@BgrWorker Er is elke mogelijkheid dat de aanvaller een geldig certificaat heeft voor het nepdomein.Het antwoord dat ik eigenlijk zoek, heeft te maken met het 2FA-gedeelte, in plaats van phishing-detectie of preventietechnieken.
Dit is waar smartcards van pas komen, omdat ze voorkomen dat de gebruiker hun tweede geheim kan lekken (de privésleutel aan de clientzijde die op de smartcard is opgeslagen).Slechts een kleine minderheid van landen en bedrijven lijkt er echter gebruik van te maken.
Ik ben geïnteresseerd in waar de afbeelding van _Top Secret_ vandaan kwam!(Ook al is een deel van de tekst geredigeerd.) Het wordt over het algemeen als beleefd beschouwd om uw afbeeldingen toe te schrijven, vooral (nou ja, misschien niet) als ze zijn gemarkeerd als Topgeheim.
@Freeman Klik op de link.
Ah, bedankt, @TheJulyPlot.Ik miste dat kleine (maar voor de hand liggende) detail ...
Ter info, alleen omdat iets is verkregen door een publicatie of mediakanaal, wordt de classificatie niet automatisch verwijderd!Wees dus voorzichtig met wat u plaatst.
Als 2FA niet werkt, is het tijd om 3FA te gebruiken (zoals wachtwoord + token + vingerafdruk).
Ik vraag me af wat er is gebeurd met pagina 2 van 2.
Zeven antwoorden:
D.W.
2017-06-08 04:18:59 UTC
view on stackexchange narkive permalink

Niet alle tweefactorauthenticatieschema's zijn hetzelfde. Sommige vormen van 2FA, zoals het sturen van een sms, zijn niet beveiligd tegen deze aanval. Andere vormen van 2FA, zoals FIDO U2F, zijn beveiligd tegen deze aanval - ze zijn opzettelijk ontworpen met dit soort aanval in gedachten.

FIDO U2F biedt twee verdedigingen tegen de man-in-the- middelste aanval:

  1. Registratie - De gebruiker registreert zijn U2F-apparaat bij een bepaalde website ("oorsprong"), zoals google.com . Dan reageert het U2F-apparaat alleen op authenticatieverzoeken van een geregistreerde oorsprong; als de gebruiker wordt misleid om goog1e.com (een phishing-site) te bezoeken, zal de U2F niet reageren op het verzoek, omdat het kan zien dat het van een site komt die het niet heeft eerder geregistreerd bij.

  2. Kanaal-ID en oorsprongsbinding - U2F gebruikt de TLS Channel ID-extensie om man-in-the-middle-aanvallen te voorkomen en stel het U2F-apparaat in staat om te verifiëren dat het met dezelfde website praat die de gebruiker in zijn webbrowser bezoekt. Ook weet het U2F-apparaat met welke herkomst het denkt te praten, en zijn ondertekende authenticatiereactie bevat een handtekening over de herkomst waarmee het denkt te praten. Dit wordt gecontroleerd door de server. Dus als de gebruiker zich op goog1e.com bevindt en die pagina vraagt ​​om een ​​U2F-authenticatie, geeft de reactie van het U2F-apparaat aan dat de reactie alleen goed is voor communicatie met goog1e.com - als de aanvaller dit antwoord probeert door te geven aan google.com , merkt Google dat er iets mis is gegaan, aangezien de verkeerde domeinnaam aanwezig is in de ondertekende gegevens.

Beide functies hebben betrekking op de integratie tussen het U2F-apparaat voor tweefactorauthenticatie en de browser van de gebruiker. Door deze integratie weet het apparaat welke domeinnaam (herkomst) de browser bezoekt, en kan het apparaat phishing en man-in-the-middle-aanvallen detecteren of voorkomen.

Meer informatie over dit mechanisme :

  • Een fragment uit de FIDO U2F-specificatie, betreffende verdediging tegen MITM-aanvallen.

  • Yubico's uitleg van de protocolstromen.

Veel U2F-tokens hebben geen permanent geheugen en het maakt niet uit of ze eerder voor die site zijn geregistreerd, dus ze zullen elke keer antwoorden.Al gebruiken ze natuurlijk voor elke site een ander sleutelpaar.
Dat lijkt een groot gedoe als u probeert in te loggen op een smartphone of tablet, of zelfs op een machine die USB niet vertrouwt (bijvoorbeeld die van een klant).D.w.z. voor veel situaties is het effect op de bruikbaarheid te groot
@ChrisH [YubiKey NEO] (https://www.yubico.com/products/yubikey-hardware/yubikey-neo/) is dubbele USB en NFC, waardoor u U2F zowel op computers als mobiel kunt gebruiken.Het is vrij naadloos op Android.(Helaas ondersteunt de ommuurde tuin van Apple geen U2F via NFC ...)
@D.W.Ik geloof dat het punt van Yay295 is dat uw antwoord beweert dat U2F is ontworpen om zich tegen die aanval te verdedigen, maar niet duidelijk * hoe * uitlegt.U zegt "het U2F-apparaat zal alleen reageren op authenticatieverzoeken van een geregistreerde oorsprong", maar wat belet de kwaadwillende MITM-site om de officiële site te vragen om het verzoek te doen?
@jamesdlin Ik denk dat het belangrijkste punt is dat real.com open * in de gebruikersbrowser * moet zijn om de juiste sleutel te genereren, dus Yay295's stap 3 werkt niet.De aanvaller kan geen kopie van de site openen op zijn eigen telefoon, maar het crypto-apparaat activeren op de telefoon van het doelwit;en een sleutel die door de telefoon van het doelwit voor nep.com is gegenereerd, is niet geldig op real.com.Dit werkt omdat er directe communicatie is tussen het crypto-token en de browser.
@jamesdlin Het legt wel uit hoe, in punt 2, "het U2F-apparaat weet met welke herkomst het denkt te praten, en zijn ondertekende authenticatiereactie bevat een handtekening over de oorsprong waarmee het denkt te praten. Dit wordt gecontroleerd door de server."Als u zich aanmeldt bij een phishing-site met het domein g00gle.com, maakt het U2F-apparaat een handtekening die alleen goed is voor g00gle.com.De echte google.com accepteert die handtekening niet.
@Ajedi32 Dat deel legt nog steeds niet uit wat de MITM ervan weerhoudt de echte site te vragen om een sleutel van het U2F-apparaat.Hoe weet het U2F-apparaat überhaupt dat de phishing-site erbij betrokken is (d.w.z. wat de gebruiker momenteel observeert)?IMSoP's uitleg dat er directe communicatie is met de browser lijkt het cruciale onderdeel te zijn.
@jamesdlin Ja, ik denk dat dit antwoord wat inleidende informatie mist over wat U2F is.Het idee van een aanvaller 'de echte site vragen om een sleutel van het U2F-apparaat te vragen' is volkomen onzinnig als het gaat om U2F, niet alleen omdat het niet zou werken, maar omdat het zelfs niet mogelijk is om met de echte site te communicerenhet U2F-apparaat van de gebruiker out-of-band in de eerste plaats.U2F-authenticatie gebeurt volledig in-band.
Xander
2017-06-07 20:17:47 UTC
view on stackexchange narkive permalink

2FA buiten de band is de juiste benadering. Dit betekent dat je een tweede factor hebt die niet kan worden phishing, zoals een clientcertificaat of FIDO U2F. Codes of sms-gebaseerde 2FA-modellen zijn de zwakste 2FA-opties omdat ze in-band zijn, en zoals je hebt beschreven, kunnen worden gephishing op dezelfde manier als inloggegevens.

Ze zijn handig omdat ze door bijna iedereen kunnen worden gebruikt, en ze zijn zeker beter dan niets, maar de beveiliging die ze bieden mag nooit worden verward met de beveiliging die wordt geboden door out-of-band 2FA.

Ik weet niet zeker of "Out of band 2FA" echt de term is waarnaar je hier op zoek bent.TOTP- en SMS-gebaseerde 2FA-schema's _are_ out-of-band, per definitie.Ze zijn gewoon niet bestand tegen phishing omdat ze niet integreren met de browser van de gebruiker zoals U2F en clientcertificaten dat doen.
De aanval houdt in feite in dat de legitieme gebruiker * alle * inloggegevens aan de aanvaller overhandigt.Hoe helpt "out of band 2FA"?Heeft u het over iets dat automatisch valideert aan wie de gebruiker die inloggegevens geeft?Kunt u het alstublieft toelichten?
Ik denk dat de juiste terminologie niet out-of-band zou zijn, maar iets dat niet MITM kan zijn.Clientcertificaat komt zeker in aanmerking, ik weet echter niet of FIDO hiertegen veilig is.
De aanval werkt alleen omdat de tweede factor via hetzelfde kanaal (de nep-Gmail-pagina) wordt verzonden.Als de tweede factor echt out-of-band wordt verzonden, bijvoorbeeld van een telefoon rechtstreeks naar een vooraf ingestelde website (de echte site), vermindert dit de aanval.Ik heb vaak gedacht dat dit is hoe 2FA-apps echt zouden moeten werken, in plaats van gebruikers getallen op dezelfde aanmeldingspagina te laten typen.
Zoals @adelphus opmerkt, wanneer mechanismen zoals SMS en Google's TOTP-authenticator worden gebruikt, terwijl ze inderdaad de code out-of-band leveren, wordt deze in-band ingediend, precies zoals een wachtwoord.Dit is wat leidt tot kwetsbaarheid.
@jpmc26 Een volledig out-of-band MFA-mechanisme helpt door het vermogen van een aanvaller om de extra factor vast te leggen en deze opnieuw te gebruiken, te elimineren.Een ander voorbeeld, een op de telefoon gebaseerd authenticatiesysteem, waarbij het systeem me belt op een telefoonnummer dat ik heb geregistreerd nadat ik mijn juiste gebruikersnaam en wachtwoord heb ingevoerd.Ik neem op, en als ik de juiste pincode op het telefoongesprek voer, ben ik geauthenticeerd.Ik voer de tweede factor niet rechtstreeks in het systeem in, dus het kan niet worden vastgelegd door iemand die zich voordoet als het systeem.
@Xander Ik zie niet in hoe het ertoe doet via welk kanaal de tweede factor wordt ingediend.Als u niet merkt dat u zich op een nepsite bevindt, beantwoordt u het telefoontje graag en geeft u uw pincode op.Dit is het systeem dat mijn bank gebruikt (behalve dat het een dialoogvenster "PIN invoeren" aan de telefoon is in plaats van een echt telefoongesprek).Als ik het adres van de bank verkeerd spel, kan de nepsite namens mij toegang krijgen tot de echte bank en 2FA activeren, ik krijg het dialoogvenster zoals ik verwacht en voer mijn pincode in (buiten de bandbreedte), en dan krijgt de aanvallertoegang.
Google heeft een versie van 2FA waarbij hun servers een melding sturen naar de Google-app op je telefoon.U opent de app en drukt op een knop om te authenticeren.De 2e factor kan niet MITM: ed zijn, maar dat zou de aanval die in deze vraag wordt beschreven helemaal niet stoppen.
@adelphus Als het op phishing aankomt, maakt het niet uit of de aanvaller de tweede-factorauthenticatie kan MITM of niet.Als de aanvaller een inlogverzoek indient bij uw bank en u autoriseert die inlogsessie (ongeacht of die autorisatie out-of-band gebeurt), krijgt de aanvaller _will_ toegang tot uw account.U2F- en clientcertificaten zijn niet kwetsbaar voor deze aanval, maar dat is _niet_ omdat ze out-of-band zijn.In feite gebeurt met beide schema's het authenticatieproces feitelijk in-band.
Zou Blizzard's 2FA een voorbeeld zijn van een out-of-band authenticator?Het is een telefoon-app, maar de site stuurt een melding naar de telefoon, waardoor een dialoogvenster verschijnt waarin u wordt gevraagd of u de toegang wilt goedkeuren, en u moet op "ja" klikken op de prompt, die vervolgens uw websessie verifieert.
@DoktorJ Ja, dat is out-of-band.Het is echter nog steeds kwetsbaar voor phishing;zie de andere positieve opmerkingen over dit antwoord.
@Ajedi32 Mijn slecht.Ik had me moeten realiseren dat de tweede factor alleen werkt als deze kan worden vergeleken met de browsersessie van de gebruiker.De factor hoeft u niet echt te valideren (daar is uw wachtwoord voor) - het moet het * ding waarin u uw inloggegevens typt, valideren *.Bedankt voor de uitleg.
Ferrybig
2017-06-08 11:18:14 UTC
view on stackexchange narkive permalink

Dit is een van de situaties waarin een (in browser) wachtwoordbeheerder je kan helpen.

Omdat een wachtwoordbeheerder wachtwoorden opslaat op basis van hun echte url, wordt deze niet automatisch ingevuld op de pagina van de aanvaller, of zelfs geef suggesties. Behalve dat het 2-staps wachtwoordtoken niet lekt, beschermt het ook het wachtwoord tegen uitlekken.

Deze bescherming werkt zelfs beter als de gebruiker zijn eigen wachtwoord niet kent en kan alleen communiceren via de wachtwoordbeheerder voor het invullen van het wachtwoord.

Ik denk niet dat ik veel wachtwoordmanagers heb gezien die eigenlijk _weten_ welke URL wordt weergegeven (laat staan zaken als de TLS-certificaatstatus).
Google Smart Lock en de Google Chrome-extensie Lastpass doen het allebei voor mij
KeePass, met behulp van de PassIFox- of ChromeIPass-add-ons, doet dit ook.Het vult automatisch wachtwoorden in als de url overeenkomt.
en ook 1 wachtwoord :-)
Hoewel dit geen 100% perfecte oplossing is (er wordt nog steeds van uitgegaan dat de gebruiker slim is), is het een geweldige manier om de gebruiker onmiddellijk te waarschuwen dat er iets vreemds aan de hand is.Absoluut een grote verbetering.+1
Bedoel je niet "er is iets phishy aan de hand"?
Aangezien hiervoor een browser nodig is die automatisch invullen, is browsen in de gastmodus uitgesloten.
Tim X
2017-06-09 07:13:40 UTC
view on stackexchange narkive permalink

Waar het op neerkomt, is dat als een aanvaller je voor de gek kan houden door alle inloggegevens op te geven, het spel voorbij is. Het maakt niet uit hoeveel factoren er bij betrokken zijn. Er zijn dingen die de blootstelling kunnen helpen beperken, zoals zeer korte time-outs voor tokens die het voor een aanvaller moeilijk maken om het token binnen de tijdslimiet te bemachtigen en opnieuw te gebruiken. Time-outs bieden echter beperkte bescherming, omdat het moeilijk kan zijn om de juiste balans te vinden, vooral met 'nep' 2FA, die zo wijdverspreid is geworden en waar je vertragingen moet toestaan ​​bij zaken als sms-bezorging om bruikbaarheidsproblemen te voorkomen (ik heb dit gezien met internationale gebaseerde services waarbij de sms-bezorging langzamer kan zijn en het token een time-out krijgt voordat u het kunt ontvangen en in de browser kunt invoeren).

Veel van de systemen met de naam 2FA zijn helemaal niet echt 2FA - ze zijn eigenlijk 2SA (authenticatie in twee stappen). In echte 2FA zijn de factoren iets dat je weet (wachtwoord) en iets dat je hebt (token, vaak hardware-gebaseerd). Schema's waarbij een code wordt verzonden via sms zijn GEEN 2FA, ze zijn 2SA - u hebt niet echt het token - deze wordt naar u verzonden. Omdat het iets is dat naar u wordt verzonden, zijn er nieuwe bedreigingsvectoren, zoals het omleiden van het mobiele nummer enz. Dit is een van de redenen waarom NIST op SMS gebaseerde tokens heeft afgeschaft als een betrouwbaar authenticatieproces.

Met respect op de specifieke vraag van de OP's, is de enige betrouwbare bescherming het kunnen detecteren van de phishing-pagina. Google heeft een Chrome-extensie uitgebracht om hierbij te helpen. De extensie waarschuwt u als deze detecteert dat u uw Google-inloggegevens opgeeft op een pagina die geen Google-pagina is.

Het grote probleem is dat we jarenlang mensen hebben geleerd om te zoeken naar het "groene hangslot" in URL's om enige zekerheid te geven dat de pagina legitiem is. Helaas hebben inspanningen zoals Lets Encrypt het nu gemakkelijk gemaakt om domein-geverifieerde certificaten te krijgen, dus veel van deze phishing-pagina's hebben nu het groene hangslot. Dit wil niet zeggen dat het probleem te wijten is aan Lets Encrypt - dit is een heel goed initiatief. Het probleem is gedeeltelijk te wijten aan zwakke punten in de PKI-infrastructuur, maar vooral aan het bewustzijn en begrip van de gebruiker. Over het algemeen begrijpen mensen PKI niet en begrijpen ze niet hoe ze kunnen verifiëren dat een certificaat legitiem is voor de site en dat de site de site is waarvan ze denken dat het is. Om het nog erger te maken, zelfs als u het begrijpt, zijn de stappen / tijd die nodig zijn om die verificatie uit te voeren vaak onhandig of gewoon te moeilijk, zodat mensen het niet doen. De situatie wordt nog verergerd door slechte acteurs van het hakmes die manieren vinden om dingen er legitiem uit te laten zien - een recente exploit maakt bijvoorbeeld gebruik van zwakheden in de manier waarop browsers URL's en Unicode-tekens weergeven om een ​​URL te genereren die in de adresbalk wordt weergegeven op een manier die bij een blik ziet er correct uit, maar de daadwerkelijke tekens in de URL specificeren een phishing-site. De gebruiker kijkt naar de adresbalk, ziet een groen hangslot en kijkt naar de URL die er goed uitziet (je brein zal zelfs dingen invullen om de match er beter uit te laten zien!) En accepteert de pagina als legitiem. U merkt geen extra witruimte tussen tekens of ietwat vreemd uitziende tekenvormen.

Dus hoe beschermen we ons hiertegen. Helaas is er geen enkele "doe dit en je bent veilig". Sommige wachtwoordbeheerders kunnen helpen, omdat ze de inloggegevens alleen verstrekken als de URL correct is, gebruik nooit URL's in e-mailberichten - typ deze altijd zelf in of gebruik een door u gemaakte bladwijzer. ga ervan uit dat u op een bepaald moment voor de gek zult worden gehouden en pas praktijken toe die de schade beperken wanneer deze zich voordoet, dwz verschillende wachtwoorden voor elke site, gebruik op hardware gebaseerde 2FA indien mogelijk, klik daadwerkelijk op de knop met certificaatdetails voor sites met een hoge waarde en kijk er staat en voor wie het certificaat is geregistreerd, zorg ervoor dat uw systeem alle updates heeft en dat u de meest recente browserversie enz. gebruikt, wees wantrouwend van aard en onthoud dat de grote bedreiging social engineering is, dus wees voorzichtig met alles dat onder druk staat u om actie te ondernemen op basis van angst, schuld, beloning of straf. Dit zijn zeer effectieve motivatoren en dreigingsactoren vertrouwen erop. Phishingcampagnes zijn veel geavanceerder geworden in hun implementatie, maar in de kern vertrouwen ze nog steeds op emotionele manipulatie - een belofte van iets geweldigs of een dreiging van iets vreselijks.

Tot slot, als je in de verleiding komt om te reageren omdat ik wachtwoordbeheerders noem, doe dat dan niet. Ja, er zijn risico's met wachtwoordbeheerders en ja, sommige zijn erger dan andere. Over het algemeen biedt een goede wachtwoordbeheerder die correct wordt gebruikt, meestal meer bescherming voor de gemiddelde gebruiker dan hun huidige wachtwoordbeheerproces. Ja, als de wachtwoordbeheerder wordt gecompromitteerd, zijn al uw wachtwoorden gecompromitteerd. Veel mensen vinden wachtwoordbeheer echter te moeilijk en gebruiken sowieso op elke site hetzelfde, vaak zwakke wachtwoord. Zodra één site is gecompromitteerd, zijn al hun sites gecompromitteerd. Als u technologie begrijpt en wachtwoorden, hashing enz. Begrijpt, kunt u waarschijnlijk een veiligere oplossing bedenken, maar u bent niet het publiek voor wachtwoordbeheerders. Bedenk hoe uw ouders of grootouders omgaan met wachtwoordbeheer en hoe goed ze phishing-sites herkennen of certificaten begrijpen, en bedenk vervolgens hoe gemakkelijk ze uw aangepaste op GPG gebaseerde wachtwoordbeheer kunnen afhandelen via cfile of synchronisatie.

BEWERKEN : Bij het herlezen van mijn antwoord, weet ik niet zeker of ik genoeg heb benadrukt dat echte 2FA in toenemende mate beschikbaar is en veel van de providers die momenteel de minder veilige 2SA met sms-codes ondersteunen, ondersteunen ook veel veiligere 2FA, in veel gevallen met behulp van U2F ( zoals vermeld in andere antwoorden). Hardware 'sleutels' van Yubico of duo (en anderen) zijn goedkoop en gemakkelijk in te stellen / te gebruiken. Mijn enige aanbeveling is dat als je besluit om naar de hardwaretoken / sleutelroute te gaan, je ervoor zorgt dat je twee sleutels krijgt, ze beide registreert en een sleutel op een veilige locatie opbergt. Ik heb er een die ik bij me draag en een die ik thuis in een kluis heb. Herstellen van een verloren / beschadigde sleutel is niet zo eenvoudig als het herstellen van een vergeten wachtwoord, dus u wilt zoveel mogelijk voorkomen dat u in die situatie terechtkomt.

[Cleaver] (https://en.wikipedia.org/wiki/Cleaver) slechte acteurs phishing-wachtwoorden niet, ze werken aan terreur- / komediefilms van C-klasse (omg [Butcher] (http: //diablo.wikia.com / wiki / The_Butcher) heeft zojuist zijn eigen hand eraf gehaald).XD
Hakmes LOL.Ik laat die typfout achterwege.Denk dat we een nieuwe term 'cleaver actor' oftewel 'clever bad actor' moeten definiëren
In 2FA op basis van sms is "wat je hebt" een simkaart.
Nee niet echt.De simkaart is niet relevant aangezien deze geen deel uitmaakt van de authz.Erger nog is dat het triviaal is om een beetje social engineering te gebruiken om de sms-berichten door te sturen naar een ander nummer (een andere simkaart), en dat is precies hoe sommige van de meer gepubliceerde hacks van op sms gebaseerde 2FA hebben gewerkt.Voor echte 2FA moet de tweede factor iets zijn dat u heeft en direct in het authz-proces wordt gebruikt.De simkaart is een incidenteel onderdeel van dat proces.
@TimX Zou je niet even gemakkelijk kunnen beweren dat TOTP ook niet "is wat je hebt", omdat een aanvaller het zaad van je telefoon zou kunnen klonen?Alleen omdat op sms gebaseerde 2FA zwak is tegen bepaalde side-channel / social engineering-aanvallen, wil nog niet zeggen dat het helemaal geen 2FA is.
@ajedi32 het verschil is dat de sms-code niet is gebaseerd op wat je ook hebt.De code is niet afgeleid van gegevens die alleen jij hebt, dus het is geen 2FA.Het is slechts een tweede authenticatiestap - de code wordt volledig bepaald door de service waartoe u toegang hebt.In 2FA is de tweede factor iets dat je hebt of afgeleid van iets dat je hebt.Simpele sms-codes zijn niet gebaseerd op iets dat je hebt en zijn dus niet per definitie 2FA.Veel van de zwakke punten in verband met sms-codes zijn omdat het niet is gebaseerd op iets dat u hebt en daarom heeft NIST ze verouderd.
djsmiley2kStaysInside
2017-06-08 17:19:44 UTC
view on stackexchange narkive permalink

Zoals aangegeven in de opmerkingen, is dit geen goede manier om dingen te doen.

Keer de test volledig om.

In dit geval vertrouwt u erop dat de mobiele telefoon van de gebruiker 'veilig' is, dus gebruik dit om hem te authenticeren. Wanneer de gebruiker probeert in te loggen op de website, dient u telefonisch een verzoek in om akkoord te gaan met deze login (via push-notificatie idealiter rechtstreeks naar de applicatie, niet via sms of e-mail, aangezien deze gemakkelijk kunnen worden geschonden). 'Het lijkt erop dat u zich aanmeldt vanaf IP x.y.z / geolocation foobar - wilt u doorgaan?'

U kunt ze ook een certificaat laten verstrekken dat op de telefoon aanwezig is, maar niet op de computer. Op deze manier heeft de 'aanvaller' geen toegang tot deze informatie door de gebruiker simpelweg naar de verkeerde site om te leiden.

Zal niet werken.De gebruiker ziet 'Je lijkt in te loggen vanaf IP xyz / geolocation foobar' en denkt dat _ze_ dat verzoek heeft geïnitieerd, aangezien ze momenteel proberen in te loggen op wat zij _ denken_ dat de legitieme site is, terwijl het in werkelijkheid een phishing-site is.Zodra ze het inlogverzoek hebben goedgekeurd, krijgt de aanvaller toegang tot zijn account.
Ah ja, goed punt.Hmm.Terug naar de tekentafel !:) Dit hier achterlaten als een 'slecht' antwoord
Ik weet het niet, als je de geolocatie-informatie opgeeft en er staat "Je lijkt in te loggen vanaf IP x.y.z / Onestia, Roemenië" en je zit aan je bureau in Anytown USA, dan gaat er een rode vlag op.Het zal vreemd zijn voor mensen die bedrijfsproxy's gebruiken (dwz waar ik werk, mijn IP wordt weergegeven in VA terwijl ik woon / werk in MA), maar dat zou gemakkelijker moeten zijn om erachter te komen, aangezien de meeste mensen weten waar het hoofdkantoor van hun bedrijf is en waar ze naartoe zullen gaan"Oh ja, ik werk voor Acme, die zijn hoofdkantoor in VA heeft, daarom denkt het dat ik inlog vanuit VA" (of een technofiel in de buurt kan hen daar graag op wijzen)
@Ajedi32, Ik denk dat het geolocatie-bit dit werkbaar maakt, net zoals Doktor J hierboven aangeeft.
@DoktorJ Eh, ik betwijfel een beetje dat het vertrouwen op gebruikers om de geolocatie te controleren effectiever zou zijn dan erop te vertrouwen dat ze het domein van de site controleren waarop ze zich bevinden.Om nog maar te zwijgen over het feit dat aanvallers de weergegeven locatie gemakkelijk kunnen vervalsen met een proxy of Tor.
Sorry, ik had erop moeten wijzen dat de geolocatie in de eerste plaats deel zou uitmaken van de controle.
John Wu
2017-06-12 14:35:28 UTC
view on stackexchange narkive permalink

Deze aanval staat bekend als phishing . Alle beveiliging in de wereld zal geen goed doen als u een eindgebruiker voor de gek kunt houden door de inloggegevens vrijwillig in te leveren.

De maatregelen tegen phishing zijn onder meer: ​​

  1. E-mailservers kunnen e-mails doorzoeken op links naar bekende phishing-sites.

  2. E-mailclients schakelen links vaak standaard uit en geven een waarschuwing wanneer ze worden ingeschakeld.

  3. Gebruikers moeten vermijden op links in e-mails te klikken. Het is vaak veiliger om het adres in te typen.

  4. Gebruikers mogen nooit toegang krijgen tot een gevoelige site (bijvoorbeeld een banksite) via een link waar dan ook. Gebruik een bladwijzer of typ deze.

  5. In tegenstelling tot wat algemeen wordt aangenomen, moeten gebruikers moeten wachtwoordbeheer gebruiken voor gevoelige sites. Een wachtwoordbeheerder zal u geen wachtwoord voor de verkeerde site laten verstrekken.

Allemaal goede punten.Deze vraag was echter meer gericht op het 2FA-deel.
WBT
2017-06-25 02:15:45 UTC
view on stackexchange narkive permalink

Als aanvulling op de andere antwoorden kan dit soort aanvallen worden belemmerd als de site zich authenticeert bij de gebruiker , zodat de gebruiker de gewoonte heeft om een sterker signaal dat ze inloggegevens invoeren op een authentieke pagina, zelfs als ze geen wachtwoordbeheerder gebruiken of niet super aandacht besteden aan de URL. Dit wordt meestal gedaan met een door de gebruiker geselecteerde beveiligingsafbeelding (uit een groot aantal opties) plus een door de gebruiker ingestelde tekstreeks. Het wordt weergegeven na het invoeren van de gebruikersnaam maar vóór het wachtwoord (dat wordt opgesplitst over twee pagina's). Het is niet helemaal waterdicht (je moet voorkomen dat de aanvallers de afbeelding / string krijgen door simpelweg een bulkverzoek te doen), maar het is ontworpen om phishing tegen te gaan, en het maakt succesvolle phishing een beetje moeilijker om uit te voeren. Als de aanvallers proberen om beveiligingsafbeeldingen / strings op te halen, kunnen deze verzoeken de echte serviceprovider ook een tip geven dat er iets niet klopt, en wat forensische informatie geven over waar die verzoeken vandaan komen.

Of het in de praktijk werkt of niet, is een andere vraag, en het bewijs uit een paper uit 2007 suggereert niet, althans voor de meeste gebruikers.



Deze Q&A is automatisch vertaald vanuit de Engelse taal.De originele inhoud is beschikbaar op stackexchange, waarvoor we bedanken voor de cc by-sa 3.0-licentie waaronder het wordt gedistribueerd.
Loading...