Tengo autenticación de dos factores. Entiendo que al usar un keylogger un atacante puede omitir esa autenticación.
Sin embargo, creo que si verifico regularmente los inicios de sesión guardados o los inicios de sesión anteriores, veré una actividad inusual. Entonces puedo asumir que mi cuenta no es pwned. ¿Estoy equivocado?
¿Cómo puede un atacante eludir ese mecanismo?
La forma en que un keylogger puede derrotar a 2FA es si el atacante está en el medio e inicia sesión en para ti . Si esto sucede, no verá una actividad inusual, verá los inicios de sesión exactamente cuando haya iniciado sesión, pero quizás no desde su ubicación (si su cuenta lo registra). Un código 2FA capturado solo es útil durante unos segundos.
Lo que PODRÍA suceder es que la protección 2FA se desactivará en la configuración de su cuenta para un dispositivo o IP en particular que usted no posee, dando al atacante acceso gratuito. Entonces podrías ver esos inicios de sesión.
Suponiendo que el sitio / servicio no proporciona la capacidad de eliminar la actividad y luego revisar la actividad es, en mi opinión, la mejor manera de garantizar la seguridad de la cuenta. Obviamente, esto depende de los criterios de lo que aparece y se presenta en la historia.
Lea otras preguntas en las etiquetas web-application authentication system-compromise