¿Es posible omitir el proceso de autenticación en dos pasos?

Navega tus respuestas
-1

¿Es posible que un hacker omita el proceso de autenticación de dos pasos si el hacker no tiene acceso físico a mi teléfono?

    
pregunta user15460 15.06.2016 - 22:55
fuente

5 respuestas

4

No dice qué tipo de proceso 2FA está utilizando y qué tipo de teléfono tiene. Pero si el hacker se las arregla para instalar una aplicación privilegiada en su teléfono, podría capturar los tokens de 2FA enviados con SMS o extraer los secretos de algunas aplicaciones OTP que utiliza.

Y instalar una aplicación en su teléfono sin tener acceso físico puede ser más fácil de lo que cree, como enviando un MMS o usando un descarga drive-by .

    
respondido por el Steffen Ullrich 15.06.2016 - 23:01
fuente
2

La dificultad de omitir 2FA depende del mecanismo utilizado para el segundo factor, pero con los códigos de SMS es definitivamente posible y se ha hecho antes. En un incidente real recientemente , los piratas informáticos pudieron engañar Los empleados de Verizon redirigen los textos a un teléfono diferente simplemente haciéndose pasar por el suscriptor.

    
respondido por el tlng05 15.06.2016 - 23:42
fuente
0

La respuesta corta es sí.

Podrían instalar malware en su teléfono, agregar una redirección de SMS, piratear un servicio telefónico o simplemente piratear el sitio objetivo.

    
respondido por el luk3yx 16.06.2016 - 00:01
fuente
0

En el caso de los códigos enviados con SMS o correo electrónico, además de una ya mencionada se está sembrando la aplicación maliciuos un dispositivo:

  • recientemente un truco de ingeniería social tiene se reveló donde un atacante envía un mensaje para convencer a la víctima de que reenvíe (o ingrese en el sitio del atacante) el mensaje de autenticación legítimo (intento de inicio de sesión del atacante) que seguirá

  • usted puede subvertir la seguridad ejecutando aplicaciones como Google Hangouts (configuradas para manejar SMS) o Pushbullet que reenvían el mensaje o solo el contenido de las notificaciones de pantalla a otros dispositivos que podrían no estar cerca, pero podrían muestra automáticamente los contenidos (como una tableta que queda en su oficina)

respondido por el techraf 16.06.2016 - 02:07
fuente
0

Sí. Hablo por experiencia. Nuestra cuenta de empresa ha sido hackeada mientras teníamos 2FA en su lugar.

  • Proveedor de servicios: Amazon AWS
  • La técnica: ingeniería social.

El hacker convenció al servicio AWS de deshabilitar 2FA.

Las otras respuestas aquí hablan sobre cómo hackear tu teléfono o el sitio web. Este "hack" es otra vía y muy eficaz.

Si el hacker puede hacerse cargo de su correo electrónico, esa es otra manera. Muchos mecanismos 2FA tienen un restablecimiento o failback a través de correo electrónico. Si controlan su correo, pueden restablecer cualquier cosa que pueda restablecerse por correo.

    
respondido por el SPRBRN 16.06.2016 - 09:26
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la diferencia entre el cracking y el hacking ético? XSS en el software wiki grande