Cách bỏ qua Xác thực (Xác nhận) danh tính 2 yếu tố Facebook, iCloud, robot

Cách bỏ qua Xác thực (Xác nhận) danh tính 2 yếu tố Facebook, iCloud, robot
Cách bỏ qua Xác thực (Xác nhận) danh tính 2 yếu tố Facebook, iCloud, robot

Xác thực hai yếu tố (2FA) là gì?

Xác thực hai yếu tố được sử dụng trên mật khẩu của người dùng khi đăng nhập vào tài khoản như một hình thức xác thực thứ hai. Lớp xác thực thứ hai có thể là mã được cung cấp thông qua tin nhắn văn bản, các ứng dụng xác thực hoặc nó có thể được tạo thành từ nhận dạng vân tay hoặc khuôn mặt.

Xác thực hai yếu tố là một tập hợp con của xác thực đa yếu tố. Trong trường hợp xác thực đa yếu tố, người dùng được yêu cầu xác định chính mình theo hai cách khác nhau.

Xác thực hai yếu tố hoạt động như thế nào?

Xác thực hai yếu tố luôn yêu cầu hình thức nhận dạng thứ hai. Khi bạn cố gắng đăng nhập vào một tài khoản, trước tiên, bạn phải nhập tên người dùng và mật khẩu của mình.

Khi xác thực hai yếu tố được bật, bạn sẽ cần cung cấp biểu mẫu bằng chứng thứ hai rằng bạn là chủ sở hữu của tài khoản trước khi có thể truy cập vào tài khoản đó.

Tại sao bạn cần xác thực hai yếu tố?

Xác thực hai yếu tố là một lớp bảo mật bổ sung. Ngay cả khi bạn vô tình tiết lộ mật khẩu của mình, tin tặc sẽ cần phải có quyền truy cập vào hình thức nhận dạng thứ hai trước khi chúng có thể xâm nhập vào tài khoản của bạn.

Chúng tôi thực sự khuyên bạn nên bật xác thực hai yếu tố cho bất kỳ tài khoản thiết yếu nào nếu có thể. Đó là một lớp bảo mật bổ sung giúp bạn gần như an toàn.

Tất nhiên, trừ khi bạn trở thành nạn nhân của kỹ thuật xã hội và bạn tự cung cấp mã xác thực hai yếu tố.

Nếu bạn đang tìm kiếm một ứng dụng xác thực, đây là một số ứng dụng dành cho điện thoại thông minh mà bạn có thể xem xét:

Google Authenticator
Microsoft Authenticator
Trình xác thực Salesforce
SecureAuth
Duo Security
Symantec VIP
Transakt
Trình xác thực LastPass

Thường thì chúng ta không thể bỏ qua xác thực hai yếu tố nếu tài khoản đã được bạn- chủ nhân của nó cài đặt xác thực 2 yếu tố. Nhất là với iCloud. Tuy nhiên, một số cách vẫn được cố gắng dùng trên tài khoản Facebook hoặc các mạng xã hội khác như sau:

Cách tin tặc sử dụng các kỹ thuật xã hội để vượt qua xác thực hai yếu tố

Trong khi các tổ chức coi xác thực hai yếu tố là một cách nhận dạng an toàn để truy cập, có những kỹ thuật khá đơn giản để bỏ qua 2FA.

Trong hầu hết các trường hợp, chúng tôi giả định rằng những kẻ tấn công đã có mật khẩu của người dùng.

Bỏ qua 2FA với quản lý phiên thông thường

Trong trường hợp này, những kẻ tấn công sử dụng chức năng đặt lại mật khẩu vì 2FA thường không được triển khai trên trang đăng nhập của hệ thống sau khi đặt lại mật khẩu.

Nó hoạt động như thế nào trong thực tế?

Kẻ tấn công nhấp vào liên kết ‘thay đổi mật khẩu’.
Kẻ tấn công yêu cầu mã thông báo đặt lại mật khẩu.
Kẻ tấn công sử dụng mã thông báo đặt lại mật khẩu.
Kẻ tấn công đăng nhập vào ứng dụng web.

Sử dụng phương pháp này, những kẻ tấn công có thể bỏ qua xác thực hai yếu tố trong một số nền tảng nhất định mà kiến ​​trúc của trang web hoặc nền tảng đó có thể thực hiện được.

Bỏ qua 2FA bằng OAuth

Tích hợp OAuth cho phép người dùng đăng nhập vào tài khoản của họ bằng tài khoản của bên thứ ba. Điều này có nghĩa là bạn sẽ có một tùy chọn thay thế để đăng nhập vào một nền tảng bằng tài khoản Facebook hoặc Gmail của mình.

OAuth hoạt động như thế nào?

Trang web yêu cầu mã thông báo xác thực từ trang web của bên thứ ba (ví dụ: Facebook).
Facebook (hoặc một trang web của bên thứ ba khác) xác minh tài khoản người dùng.
Facebook (hoặc một trang web của bên thứ ba khác) gửi mã gọi lại.
Trang web đăng nhập người dùng.
Ở đây, những kẻ tấn công thậm chí không cần sử dụng 2FA nếu chẳng hạn, chúng có tên người dùng và mật khẩu Facebook hoặc Gmail của người dùng.