¿La verificación de 2 pasos de Google protege al usuario del secuestro de sesión?

2

Después de iniciar sesión en el escenario verificación de 2 pasos de Google , el usuario debe ingresar la verificación Código que envía a su móvil. Sin él, no podía acceder a la cuenta de Gmail.

Considera que un atacante hace secuestro de sesión. ¿Puede el atacante acceder a la cuenta de Gmail si el atacante usa una sesión secuestrada? ¿O se detendrá al ingresar el código de verificación?

ACTUALIZACIÓN : El atacante realiza un secuestro de sesión después de que el usuario ingresa el código de verificación.

    
pregunta Hossein Ghiyasi Mehr 24.04.2014 - 18:51
fuente

2 respuestas

0

Respuesta corta: sí, el atacante puede usar el secuestro de sesión.

Respuesta larga: los atacantes pueden usar XSS para obtener la cookie de su navegador (la que establece Google) e inyectarla en su solicitud de Google. Sin embargo, si eso no ocurre, el malware puede hacer lo que quiera mientras está conectado.

    
respondido por el anonman 24.04.2014 - 19:06
fuente
1

La autenticación multifactor requiere tener más de 2 de los siguientes:

  • Algo que sabes (por ejemplo, secreto como una contraseña)
  • Algo que tienes (por ejemplo, token o código proporcionado al dispositivo especificado)
  • Algo que eres (biometría)

(También tenga en cuenta que hay nuevos conceptos para multifactor, pero estos son los básicos para MFA)

Google está usando un sistema donde tiene una contraseña y usando un código / pin de una sola vez (OTP). Esto significa que alguien no puede iniciar sesión en su cuenta sin conocer el código, pero no significa que no pueda secuestrar su sesión. Si han comprometido su estación de trabajo, red o navegador, entonces están viendo todo lo que ingresa, incluido este pin. Esto podría ser a través de un ataque clásico de hombre en el medio o hombre en el navegador .

La seguridad debe aplicarse en capas, por lo que el inicio de sesión en dos pasos proporciona un componente, pero no es una garantía absoluta ni una bala de plata. El atacante no puede iniciar sesión sin el código, por lo tanto, si desean iniciar sesión, deben comprometer su teléfono directamente (malware o aplicación maliciosa autorizada que puede leer mensajes de texto), poner en peligro su computadora para que puedan manipular el código en ejecución o reenvíe el código a un atacante cuando lo escriba o lo comprometa a través de la ingeniería social (por ejemplo, lo convencerán de que reenvíe el código por SMS con algún pretexto).

Por lo tanto, hace que sea mucho más difícil comprometer su cuenta, pero no es imposible. es decir, si su teléfono está apagado, tendrían dificultades. Si su teléfono estuviera apagado y no estuviera comprometido, y no lo ingresara en la computadora, tendrían dificultades. Hay algunos casos pendientes (por ejemplo, están haciendo algunos phreaking para interceptar sus SMS), pero generalmente es una actualización en la seguridad de su cuenta.

    
respondido por el Eric G 25.04.2014 - 01:10
fuente

Lea otras preguntas en las etiquetas