Waar het op neerkomt, is dat als een aanvaller je voor de gek kan houden door alle inloggegevens op te geven, het spel voorbij is. Het maakt niet uit hoeveel factoren er bij betrokken zijn. Er zijn dingen die de blootstelling kunnen helpen beperken, zoals zeer korte time-outs voor tokens die het voor een aanvaller moeilijk maken om het token binnen de tijdslimiet te bemachtigen en opnieuw te gebruiken. Time-outs bieden echter beperkte bescherming, omdat het moeilijk kan zijn om de juiste balans te vinden, vooral met 'nep' 2FA, die zo wijdverspreid is geworden en waar je vertragingen moet toestaan bij zaken als sms-bezorging om bruikbaarheidsproblemen te voorkomen (ik heb dit gezien met internationale gebaseerde services waarbij de sms-bezorging langzamer kan zijn en het token een time-out krijgt voordat u het kunt ontvangen en in de browser kunt invoeren).
Veel van de systemen met de naam 2FA zijn helemaal niet echt 2FA - ze zijn eigenlijk 2SA (authenticatie in twee stappen). In echte 2FA zijn de factoren iets dat je weet (wachtwoord) en iets dat je hebt (token, vaak hardware-gebaseerd). Schema's waarbij een code wordt verzonden via sms zijn GEEN 2FA, ze zijn 2SA - u hebt niet echt het token - deze wordt naar u verzonden. Omdat het iets is dat naar u wordt verzonden, zijn er nieuwe bedreigingsvectoren, zoals het omleiden van het mobiele nummer enz. Dit is een van de redenen waarom NIST op SMS gebaseerde tokens heeft afgeschaft als een betrouwbaar authenticatieproces.
Met respect op de specifieke vraag van de OP's, is de enige betrouwbare bescherming het kunnen detecteren van de phishing-pagina. Google heeft een Chrome-extensie uitgebracht om hierbij te helpen. De extensie waarschuwt u als deze detecteert dat u uw Google-inloggegevens opgeeft op een pagina die geen Google-pagina is.
Het grote probleem is dat we jarenlang mensen hebben geleerd om te zoeken naar het "groene hangslot" in URL's om enige zekerheid te geven dat de pagina legitiem is. Helaas hebben inspanningen zoals Lets Encrypt het nu gemakkelijk gemaakt om domein-geverifieerde certificaten te krijgen, dus veel van deze phishing-pagina's hebben nu het groene hangslot. Dit wil niet zeggen dat het probleem te wijten is aan Lets Encrypt - dit is een heel goed initiatief. Het probleem is gedeeltelijk te wijten aan zwakke punten in de PKI-infrastructuur, maar vooral aan het bewustzijn en begrip van de gebruiker. Over het algemeen begrijpen mensen PKI niet en begrijpen ze niet hoe ze kunnen verifiëren dat een certificaat legitiem is voor de site en dat de site de site is waarvan ze denken dat het is. Om het nog erger te maken, zelfs als u het begrijpt, zijn de stappen / tijd die nodig zijn om die verificatie uit te voeren vaak onhandig of gewoon te moeilijk, zodat mensen het niet doen. De situatie wordt nog verergerd door slechte acteurs van het hakmes die manieren vinden om dingen er legitiem uit te laten zien - een recente exploit maakt bijvoorbeeld gebruik van zwakheden in de manier waarop browsers URL's en Unicode-tekens weergeven om een URL te genereren die in de adresbalk wordt weergegeven op een manier die bij een blik ziet er correct uit, maar de daadwerkelijke tekens in de URL specificeren een phishing-site. De gebruiker kijkt naar de adresbalk, ziet een groen hangslot en kijkt naar de URL die er goed uitziet (je brein zal zelfs dingen invullen om de match er beter uit te laten zien!) En accepteert de pagina als legitiem. U merkt geen extra witruimte tussen tekens of ietwat vreemd uitziende tekenvormen.
Dus hoe beschermen we ons hiertegen. Helaas is er geen enkele "doe dit en je bent veilig". Sommige wachtwoordbeheerders kunnen helpen, omdat ze de inloggegevens alleen verstrekken als de URL correct is, gebruik nooit URL's in e-mailberichten - typ deze altijd zelf in of gebruik een door u gemaakte bladwijzer. ga ervan uit dat u op een bepaald moment voor de gek zult worden gehouden en pas praktijken toe die de schade beperken wanneer deze zich voordoet, dwz verschillende wachtwoorden voor elke site, gebruik op hardware gebaseerde 2FA indien mogelijk, klik daadwerkelijk op de knop met certificaatdetails voor sites met een hoge waarde en kijk er staat en voor wie het certificaat is geregistreerd, zorg ervoor dat uw systeem alle updates heeft en dat u de meest recente browserversie enz. gebruikt, wees wantrouwend van aard en onthoud dat de grote bedreiging social engineering is, dus wees voorzichtig met alles dat onder druk staat u om actie te ondernemen op basis van angst, schuld, beloning of straf. Dit zijn zeer effectieve motivatoren en dreigingsactoren vertrouwen erop. Phishingcampagnes zijn veel geavanceerder geworden in hun implementatie, maar in de kern vertrouwen ze nog steeds op emotionele manipulatie - een belofte van iets geweldigs of een dreiging van iets vreselijks.
Tot slot, als je in de verleiding komt om te reageren omdat ik wachtwoordbeheerders noem, doe dat dan niet. Ja, er zijn risico's met wachtwoordbeheerders en ja, sommige zijn erger dan andere. Over het algemeen biedt een goede wachtwoordbeheerder die correct wordt gebruikt, meestal meer bescherming voor de gemiddelde gebruiker dan hun huidige wachtwoordbeheerproces. Ja, als de wachtwoordbeheerder wordt gecompromitteerd, zijn al uw wachtwoorden gecompromitteerd. Veel mensen vinden wachtwoordbeheer echter te moeilijk en gebruiken sowieso op elke site hetzelfde, vaak zwakke wachtwoord. Zodra één site is gecompromitteerd, zijn al hun sites gecompromitteerd. Als u technologie begrijpt en wachtwoorden, hashing enz. Begrijpt, kunt u waarschijnlijk een veiligere oplossing bedenken, maar u bent niet het publiek voor wachtwoordbeheerders. Bedenk hoe uw ouders of grootouders omgaan met wachtwoordbeheer en hoe goed ze phishing-sites herkennen of certificaten begrijpen, en bedenk vervolgens hoe gemakkelijk ze uw aangepaste op GPG gebaseerde wachtwoordbeheer kunnen afhandelen via cfile of synchronisatie.
BEWERKEN : Bij het herlezen van mijn antwoord, weet ik niet zeker of ik genoeg heb benadrukt dat echte 2FA in toenemende mate beschikbaar is en veel van de providers die momenteel de minder veilige 2SA met sms-codes ondersteunen, ondersteunen ook veel veiligere 2FA, in veel gevallen met behulp van U2F ( zoals vermeld in andere antwoorden). Hardware 'sleutels' van Yubico of duo (en anderen) zijn goedkoop en gemakkelijk in te stellen / te gebruiken. Mijn enige aanbeveling is dat als je besluit om naar de hardwaretoken / sleutelroute te gaan, je ervoor zorgt dat je twee sleutels krijgt, ze beide registreert en een sleutel op een veilige locatie opbergt. Ik heb er een die ik bij me draag en een die ik thuis in een kluis heb. Herstellen van een verloren / beschadigde sleutel is niet zo eenvoudig als het herstellen van een vergeten wachtwoord, dus u wilt zoveel mogelijk voorkomen dat u in die situatie terechtkomt.