¿Por qué molestarse con ciertos tipos de 2fa si se pueden omitir fácilmente?

Navega tus respuestas
1

En la naturaleza, hay un método para eludir 2fa. La esencia de esto es que el atacante no solo phishea la contraseña, sino que también phish el segundo factor y los usa para un inicio de sesión real en su propia máquina. (descrito en detalle aquí enlace ). En este escenario de ataque, 2fa da una falsa sensación de seguridad y hace que sea más probable que sea víctima de phishing. Después de todo, si mi única protección contra la suplantación de identidad es comprobar el certificado y la URL, es más probable que lo vuelva a verificar en comparación con el hecho de haber comprado un nuevo y brillante factor 2 que se promociona a sí mismo como prueba de errores.

Si obtengo phishing de esta manera con el segundo factor, el hacker está dentro y, mientras no se desconecte, pueden permanecer durante mucho tiempo causando todo tipo de problemas.

Claramente, el 2fa tiene la desventaja de crear una falsa sensación de seguridad. Las únicas ventajas que pude ver son los usuarios que comparten la misma contraseña en diferentes servicios o que hacen que los inicios de sesión subsiguientes utilicen las mismas credenciales imposibles. ¿No son esas ventajas demasiado pequeñas en relación con la desventaja?

Obviamente la respuesta aquí es la reeducación. Dígales a los usuarios que usen 2fa, pero manténganse atentos: infórmeles de este tipo de ataque y de lo desagradable que es incluso con 2fa. Pero es difícil de hacer teniendo en cuenta cuántas soluciones 2fa se presentan como "LA" solución final definitiva para el phishing. Simplemente no es cierto y en muchos aspectos empeora el problema, especialmente en los sitios web. ¿Me estoy perdiendo de algo?

    
pregunta user3280964 06.09.2018 - 19:01
fuente

2 respuestas

8

Sí, TOTP y HOTP (además del correo electrónico, SMS, etc.) son vulnerables a esto. ¿Por qué los usamos? Debido a que son fáciles de implementar y brindan alguna protección. Mientras la mayoría de las personas no utilicen ningún como factor secundario, los phishers se enfocarán principalmente en esos usuarios, ya que el phishing MitM (debatably) requiere más esfuerzo.

Lo dije antes y lo repetiré, una vez que la mayoría de las personas hayan comenzado a usar 2FA para sus cuentas importantes, este tipo de phishing MitM se volverá mucho más común. La forma de evitar esto es U2F o WebAuthn, que usan criptografía de clave pública para autenticarse en el servidor y comunicarse con el navegador para verificar que el nombre de dominio que ha visitado coincide con el dominio para el que registró la clave.

Si desea ver una publicación de blog más larga y (en mi opinión) menos sesgada sobre el tema, repasé esto Evilginx 2 blog post y parece que cubre todo muy bien (e incluso tiene información sobre cómo los dominios de phishing pueden evitar los escáneres que intentan bloquearlos).

Estaba centrado en el phishing, pero como señala Ajedi32 , 2FA es útil para algo más que simplemente prevenir el phishing. . Es útil cuando su contraseña puede verse comprometida, pero el segundo factor no lo es.

    
respondido por el AndrolGenhald 06.09.2018 - 19:20
fuente
2

Porque 2FA protege contra algo más que el phishing.

Una de las principales amenazas contra las que protege 2FA es relleno de credenciales , donde los atacantes toman contraseñas robadas de otros servicios en violaciones de datos e intente usar esas mismas credenciales para iniciar sesión en su cuenta. El relleno de credenciales es una causa bastante común de compromiso de la cuenta, con numerosas instancias de ataques exitosos ocurridos a lo largo de los años.

Como dijiste, es cierto que el ataque no funciona si usas contraseñas únicas y generadas aleatoriamente para cada sitio; pero nuevamente, el phishing tampoco funciona si solo ingresas tu contraseña en el sitio en el que te registraste originalmente. El hecho de que los usuarios diligentes puedan defenderse contra ambos ataques no significa que ya no sean un problema.

2FA también protege contra muchas otras prácticas incorrectas que comúnmente afectan la autenticación basada en contraseña, como contraseñas débiles, contraseñas escritas en notas post-it adjuntas al monitor del usuario, etc.

Además, 2FA también ofrece una resistencia limitada contra otros ataques como el registro de teclas y el phishing, lo que obliga al atacante a usar las credenciales capturadas de inmediato y limita la duración del compromiso a una sola sesión de inicio de sesión. También hay algunas formas mucho mejores de 2FA, como los tokens U2F / WebAuthN, que proporcionan una sólida defensa contra el phishing, ya que se integran con el navegador del usuario y, por lo tanto, pueden garantizar que las credenciales solo se proporcionen al sitio para el que fueron diseñadas.

    
respondido por el Ajedi32 06.09.2018 - 20:41
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la forma más segura de copiar un archivo desde un sistema que no es de confianza? ¿Debo usar una contraseña maestra de Firefox o NTFS cifrar mi perfil?