공격자가 이중 인증을 무시할 수있는 방법은 다음과 같습니다.

이중 인증 시스템은 그들이 말하는 것처럼 절대 안전한 것은 아닙니다. 공격자는 실제로 전화 회사 나 보안 서비스 자체를 속일 수 있으면 실제 인증 토큰이 필요하지 않습니다.

추가 인증은 항상 도움이됩니다. 우리 모두가 원하는 완벽한 보안을 제공하는 것은 없지만, 2 중 인증을 사용하면 사용자가 원하는 공격자에게 더 많은 장애물이됩니다.

여러 웹 사이트의 2 단계 인증 시스템은 누군가가 로그인을 시도 할 때 SMS를 통해 휴대 전화로 메시지를 전송함으로써 작동합니다. 휴대 전화의 전용 앱을 사용하여 코드를 생성하더라도 선택 서비스가 휴대 전화에 SMS 코드를 보내 사용자가 로그인하도록하십시오. 또는 복구 전화 번호로 설정 한 전화 번호에 대한 액세스 권한을 확인한 후 계정에서 이중 인증 인증을 제거 할 수 있습니다.

이 모든 것은 괜찮은 것 같습니다. 휴대폰을 가지고 있고 전화 번호가 있습니다. 그것에는 당신의 셀룰라 전화 공급자와 그 전화 번호에 그것을 묶는 물리적 인 SIM 카드가 있습니다. 그것은 모두 매우 육체적으로 보입니다. 그러나 슬프게도 전화 번호는 생각만큼 안전하지 않습니다.

휴대 전화를 분실하거나 새 카드를받은 후에 기존 전화 번호를 새로운 SIM 카드로 옮길 필요가 있다면 전화 또는 온라인을 통해 전적으로 할 수있는 일을 알 수 있습니다. 모든 공격자는 휴대 전화 회사의 고객 서비스 부서에 전화하여 귀하 인 것처럼 행동해야합니다. 전화 번호가 무엇인지 알아야하고 자신에 관한 개인 정보가 필요합니다. 이것은 세부 정보의 종류입니다. 예를 들어, 신용 카드 번호, SSN의 마지막 네 자리 및 기타 – 큰 데이터베이스에서 정기적으로 누출되어 신분 도용에 사용됩니다. 공격자는 전화 번호를 휴대 전화로 옮길 수 있습니다.

더 쉬운 방법이 있습니다. 또는 예를 들어 전화 회사가 전화 착신 전환을 설정하여 수신 음성 전화가 전화기로 전달되고 사용자의 전화로 연결되지 않도록 할 수 있습니다.

악의적 인 공격자는 전체 전화 번호에 액세스 할 필요가 없을 수도 있습니다. 음성 사서함에 액세스하여 오전 3시에 웹 사이트에 로그인 한 다음 음성 사서함에서 인증 코드를 가져올 수 있습니다. 전화 회사의 음성 메일 시스템이 얼마나 안전합니까? 음성 메일 PIN의 보안 수준 – 설정 했습니까? 모두가 아닙니다! 또한 전화 회사에 전화하여 침입자가 음성 메일 PIN을 다시 설정하는 데 얼마나 많은 노력이 필요합니까?

전화 번호가 취약한 링크가되어 공격자가 SMS 또는 음성 통화를 통해 계정에서 2 단계 인증을 제거하거나 2 단계 인증 코드를받을 수 있습니다. 뭔가 잘못되었다는 것을 알게 될 때까지, 그들은 그 계정에 액세스 할 수 있습니다.

이것은 사실상 모든 서비스에 문제가됩니다. 온라인 서비스는 사람들이 자신의 계정에 액세스하는 것을 원하지 않으므로 일반적으로 전화 번호로 두 요소 인증을 무시하고 제거 할 수 있습니다. 휴대 전화를 재설정하거나 새 인증 코드를 가져와 두 가지 요소 인증 코드를 분실 한 경우에도 도움이됩니다. 전화 번호는 아직 가지고 있습니다.

이론적으로 여기서 많은 보호가 있어야합니다. 실제로는 셀룰러 서비스 제공 업체의 고객 서비스 담당자를 상대하고 있습니다. 이러한 시스템은 효율성을 높이기 위해 설정되는 경우가 많으며, 고객 서비스 직원은 분노하고, 참을성이없고, 충분한 정보처럼 보이는 고객에게 직면 한 보호 장치의 일부를 간과 할 수 있습니다. 귀하의 전화 회사와 고객 서비스 부서는 귀하의 보안에 취약한 링크입니다.

전화 번호를 보호하는 것은 어렵습니다. 현실적으로, 휴대 전화 회사는이 위험을 줄이기 위해 더 많은 안전 장치를 제공해야합니다. 실제로는 대기업이 고객 서비스 절차를 수정하기를 기다리는 대신 자신의 것으로 뭔가를하고 싶을 것입니다. 일부 서비스는 전화 번호를 통해 복구를 비활성화하거나 재설정 할 수있게 해줄 수 있지만 업무상 중요한 시스템 인 경우 은행 금고에 잠글 수있는 재설정 코드와 같은보다 안전한 재설정 절차를 선택할 수도 있습니다 너는 그들을 필요로한다.

전화 번호 뿐이 아닙니다. 많은 서비스를 통해 코드를 잃어 버렸고 로그인해야한다고 주장 할 경우 다른 방법으로 이중 인증을 제거 할 수 있습니다. 계정에 대한 충분한 개인 정보가 있으면 알 수 있습니다.

직접 시도해보십시오. 이중 인증을 사용하여 보안을 유지하고 코드를 분실 한 것처럼 보이는 서비스로 이동하십시오. 들어가려면 무엇이 필요한지 확인하십시오. 최악의 시나리오에서는 개인 정보를 제공하거나 안전하지 않은 “보안 질문”에 대답해야 할 수도 있습니다. 서비스 구성 방법에 따라 다릅니다. 다른 전자 메일 계정에 대한 링크를 전자 메일로 보내서 전자 메일 계정을 약화시킬 수 있습니다. 이상적인 상황에서는 전화 번호 또는 복구 코드에 액세스해야 할 수도 있습니다. 앞에서 보았 듯이 전화 번호 부분은 취약한 링크입니다.

다음은 무서운 것입니다. 2 단계 인증을 우회하는 것이 아닙니다. 침입자는 암호를 완전히 무시할 수있는 유사한 방법을 시도 할 수 있습니다. 온라인 서비스는 사람들이 암호를 잊어 버린 경우에도 계정에 다시 액세스 할 수 있기를 원하므로이 방법이 효과적입니다.

예를 들어 Google 계정 복구 시스템을 살펴보십시오. 이것은 계정 복구를위한 마지막 옵션입니다. 비밀번호를 모르는 경우 계정을 만든시기와 자주 이메일을 보내는 사람과 같은 계정 정보를 요청하게됩니다. 충분한 지식을 가진 공격자는 이론적으로 암호 재설정 절차를 사용하여 계정에 액세스 할 수 있습니다.

Google의 계정 복구 프로세스가 악용되는 것을 결코 들어 본 적이 없지만 Google 만이 이와 같은 도구를 가진 회사는 아닙니다. 특히 공격자가 자신에 대해 충분히 알고있는 경우에는 완전히 완벽 할 수는 없습니다.

문제가 무엇이든간에 2 단계 인증 설정이있는 계정은 2 단계 인증없이 항상 동일한 계정보다 안전합니다. 그러나 가장 중요한 약점을 악용하는 ttacks로 보아 왔듯이 이중 인증은 아무런 효과가 없습니다. 전화 회사.

Google 계정 복구 방법의 주요 문제는 비밀번호를 잊어 버린 합법적 인 사용자를 식별하는 것이 아닙니다.

나는이 문제로 많은 고객들을 상대 해 왔으며, 그 과정에서 묻는 질문에 답하는 것은 구글에서 끝나지 않아 요청에 확신이 없으므로 패스워드를 돌려주지 않는다.

2 단계 인증은 5 분도 안 걸렸지 만 가장 간단한 작업을 수행 할 수있는 권한을 얻으려면 거대한 PITA입니다.

나 아니면 제목에 “두 가지 요소 인증을 우회하는 계정 해킹 아이디어”가 있습니까? 고마워 How-To-Geek

농담은 제쳐두고, 우리가 전혀 안전하지 않다는 것을 아는 것은 무섭다. 생성 된 모든 암호화 방법은 해킹 가능해질 수 있습니다. 우리의 유일한 선택은 이러한 기술적 방법과 결합하여 우리가 어느 정도 안전하다고 주장 할 수있는 습관을 개발하는 것입니다.

Clickbait. 당신이 높은 가치를 지닌 대상이라면, 대부분의 일반적인 보안 조치를 취할 것입니다. 나머지 우리에 관해서는 이론적 인 위험이 존재하지만,이 유형의 공격이 발생할 확률은 매달린 과일이 많을 때 매우 낮습니다. 소행성에도주의를 기울이십시오.

그렇다면 몇 가지 해결책이있는 후속 조치가 있습니까? 이것은 “How to Geek”입니다. 물론 이것은 dnlsrl이 제안한 “How-To-Two-Factor Authentication”방법 일뿐입니다.

그래서 우리는 무엇을합니까? 어떻게 예방 되니?

대답은 매우 간단합니다. 암호를 포함하여 인터넷 연결이 필요한 물건을 보관하지 마십시오.

그것은 여전히 ​​단순한 암호보다 낫다. 그래서 나는 그것을 계속 사용 가능하게 할 것이다.

미끼를 누르지 마십시오. 이 기사는 실제 문제를 확인하고 슬라이드 모음을 만들기 위해 클릭해야하는 가장 열 가지 무서운 목록을 제공하지 않습니다.

HTG에게 그들이 제시하는 정보에 대해 더 많은 것을 알려주십시오.

죄송합니다 Chris,하지만이 문서는 위험 할 정도로 정확하지 않습니다.

당신은 정기적으로 “두 요소”와 “두 단계”를 같은 것으로 바꾸지 만 완전히 다른 개념입니다.

실제 2FA는 지식 요소, 암호뿐 아니라 사용자가 실제로 갖고있는 것의 절도를 필요로하기 때문에 깨기가 엄청나게 어렵습니다. 여기에 설명 된 것은 2SV 또는 로그인에 두 번째 요소가 필요하지 않은 2 단계 인증입니다. 종종 사용자 / 브라우저는 이전에 계정에 등록 된 장치에 두 번째 STEP을 우회하는 영구 키를 제공 할 수 있습니다. 또한 설명했듯이 셀룰러 계정을 가로 채어 OTP를 차단할 수도 있습니다. 정의에 따르면 공격자가 실제 사용자에게 도달하기 전에 사용자가 가로 채기 때문에 사용자는이 시나리오에서 OTP를 “소유하지”않습니다. 그들이 뭔가를 갖고 있지 않다면 (2FA에서 소유 요소), 그것은 두 번째 단계 일 뿐이며 두 번째 요인이 아닙니다.

그러나 중요한 것은 LoA (보증 수준)입니다. 2SV는 단일 암호에 비해 LoA가 크게 증가하지만 2FA를 사용하여 달성 할 수있는 LoA 수준과 비교할 수는 없습니다. 물론, 그것은 패배시킬 수 있지만 그것을 구현하지 않을 이유가 없습니다.

2 단계 과정에서 두 번째 요소를 사용할 수 있지만 (Gmail에 로그인하는 동안 Google OTP라고 생각) 프로세스는 두 단계로 진행됩니다.

추가 정보 : https://ramblingrant.co.uk/the-difference-between-two-factor-and-two-step-authentication

샌프란시스코시의 애완견 개 수는 도시 추정치와 인구 조사 자료에 따르면 수천 명에 달한다.