proceso de autenticación de dos factores que utiliza un código aleatorio de una sola vez, creo que se puede usar el secuestro de la temporada, me gustaría saber si hay más técnicas para resolverlo.
Con el secuestro de la temporada, creo que si secuestro a una víctima que usa 2FA, me permitirá evitar ese proceso y acceder a su cuenta directamente.
Hey, creo que te estás perdiendo el punto cuando haces esta pregunta. Tomemos un cajero automático por ejemplo. Necesitas tu tarjeta bancaria y un pin de 4 dígitos. El pin de 4 dígitos tiene 10 ^ 4 posibilidades y podría ser adivinable.
También es importante observar los bits de información que necesita. La carta cae en "Algo que tienes" y el pin en "Algo que sabes". Esta es una parte importante de la autenticación de 2 factores porque hace que sea altamente improbable que adquiera ambos
el problema de intentar romper el pin es que existen otros mecanismos de seguridad. En el cajero automático utilizan un acelerador en el que solo puede intentar iniciar sesión X veces antes de tomar su tarjeta. En Internet utilizarán un acelerador y, después de algunos intentos, lo obligarán a ingresar una recaptcha o tendrán un retraso requerido entre intentos fallidos (unos segundos más antes de que la página le permita volver a intentarlo) o simplemente lo bloquearán de la cuenta
Entonces ... para responder a tu pregunta. La autenticación de 2 factores puede ser descifrable, pero hay pasos que se toman para evitar que se agriete y que sea extremadamente improbable que un atacante lo haga. No entiendo muy bien tu pregunta, así que opté por esta respuesta genérica
editar: miré el facebook como me pediste. El pin que te envían es de 6 dígitos que se envían a tu teléfono por SMS. Le permiten descargar una aplicación para generarlas en su teléfono, lo que podría ser interesante de ver. No aceleran los inicios de sesión pero sí le dan una "Notificación de Facebook" que indica que alguien ha intentado iniciar sesión en su cuenta sin éxito.
No es sorprendente que debas tener la contraseña correcta para llegar al punto para ingresar el pin.
Si está intentando descifrarlo, tendrá que enviar una gran cantidad de tráfico a Facebook y le notificarán a la persona que está intentando descifrar. Además, la persona recibirá un mensaje de texto con un código que indica que alguien ha intentado iniciar sesión (con la contraseña correcta).
Yo diría que como atacante ... su facebook probablemente no sea un buen lugar para ir de forma remota si están usando la autenticación de 2 factores. Puede que en realidad sea más fácil solo tener su caja primero e ir a Facebook desde su computadora de la que ya han iniciado sesión.
Solicita una respuesta específica para el mecanismo 2FA que proporcionan sitios web como gmail.
Sus contraseñas se incluyen en algo que sabe, el código de una sola vez que se le proporcionó a través de una aplicación de teléfono o algo similar es algo que tiene.
¿Se puede utilizar el código de una sola vez? Muy poco probable: solo tienes una ventana de 30 segundos antes de que cambie el código. Además, la mayoría de los servicios en línea bloquean la cuenta después de un cierto número de intentos fallidos.
En tu pregunta mencionaste el secuestro de sesión. Probablemente debería leer un poco más sobre el tema, ya que el secuestro de sesión no es realmente relevante para la autenticación 2FA, aunque es una amenaza muy real.
Lea otras preguntas en las etiquetas authentication