2FA Bypass工具突出了顶级业务安全漏洞
并购行动:如何与赤裸葡萄酒配对的雄性葡萄酒为燃料云导致的数字变换
卡巴斯基实验室冠军性别平等和数字儿童安全
企业加入以创建区块链网络的企业标准
分享您的耳塞以举行外语谈话
HMRC CDIO Jacky Wright对为什么建立不同的技术团队是社会负责的
涉及云安全的CIO最佳实践是什么?
技术谈话:开发人员的命运(以及移动的未来)
Microsoft避免Win10(1803)升级在运行Avast上的PCS吗?
Microsoft将AI转录带到Onedrive和SharePoint
欢迎来到OS后的时代
IT优先事项2019:什么项目是专业人士的预算?
你的表面何时支持生命周期?它会得到修复吗?
Caixabank客户可以使用他们的脸在ATM上撤回金钱
仍在击中错误0x8000FFF在安装Win7每月汇总时?有原因。
South West Yorkshire NHS Trust部署临床门户
到2020年,1 in-5个医疗保健组织将采用区块链;这就是为什么
在你恐慌之前:有关Android安全的6件事
IBM希望开辟深度学习专长瓶颈
英特尔是否为Win7建立了新版本的咖啡湖芯片组?
Trello添加了主页视图,改造通知
BT库存为No-Deal Brexit提供网络套件,因为Patterson退出
委员会议院呼吁创造一个数字管理局来监督监管
北欧地区推动到先锋5G
影子经纪人威胁要释放更多的NSA-源性恶意软件
Apple,Microsoft补丁IOS 11电子邮件缺陷
Mozilla预览了它更快的“Firefox量子”浏览器
Dropbox针对展示组合和专业定价层的自由职业专业
Win 10周年纪念更新的KB 4034661 Jumbo Bug修复在哪里?
Cio说,云备份有助于ASL Airlines逃避赎金软件并保持业务飞行
压力下的OpenStack从一个(in)名人获得支持
微软将社区探讨瑞典人工智能
英特尔关注John McAfee的隐私手机的名称
电报媒体组在Google Cloud上切换出AWS才能全新
Chesterfield NHS信任将30个数据管理系统整合到一个与Civica中的一个
启动推出可构建碳纤维,Kevlar,玻璃纤维部件的3D打印机
有争议的邮局计算机系统上有数千个已知的错误
宽带鸿沟仍然存在于英国,说哪个?
技术谈话:iPhone定价,基于Intent的网络,GPS欺骗和Smartwatches,哦,我!
Microsoft将Windows XP修补程序自第二个月直接复活
United Utilities'RPA裂缝团队提前收益
增加的保护主义可能会遏制数码M和AS
对于企业来说,Windows 10 1709的大变化并不明显
癌症研究旨在提高用户的数字体验
新加坡现在可以根据公共标准认证安全产品
遇见警察部署了第九次的现场面部识别技术
HPE通过容器提供从老化HP-UX OS逸出
A.I.创新在移动设备上找到一个家庭
Oracle利用AI将企业应用程序推到云
英国军用机器人获得千磅升压
您的位置:首页 >产品 > 商业评论 >

2FA Bypass工具突出了顶级业务安全漏洞

2021-08-22 17:44:08 [来源]:

安全研究员发布了一个概念验证工具,可以绕过Gmail和其他服务使用的双因素身份验证(2FA),以突出显示企业安全性最容易被利用的弱点。

根据波兰安全研究员PiotrDuszyński,社会工程是一个严重的威胁,无法轻视待遇。

“多年来我的渗透测试经验,我找到了社会工程最简单,最有效的方法可以妥善立足到我的客户内部网络,”Duszyński在博客帖子中写道。

他说,攻击者知道,没有必要利用保护周边的零点漏洞,因为所有这些都需要损害安全性以访问敏感数据所需的一切是“只是几个电子邮件或电话”。

为了强调这一事实,Duszyński表示他使用Go编程语言创建了“ModlichKA”工具,使网络钓鱼活动窃取合法的用户凭据尽可能有效。

在GitHub上提供的反向代理工具以及用户指南可用于绕过当前使用的大多数使用的2FA身份验证方案,并使用Duszyński表示他已剥削“很长一段时间”的技术。

他进一步证明了该工具的创建和发布,这对想要进行有效的网络钓鱼活动以及组织的红色组织练习来测试他们的网络防御的有效性来证明它应该是有用的。

该工具将用户和合法站点之间的不易察觉的网络钓鱼站点放在中间风格攻击中的经典男人,以收获包括第二因子认证代码的凭证,因此不要求攻击者创建一个假设网站的诀窍用户进入他们的详细信息。

然而,这种反向代理技术对使用通用第二因子(U2F)的2FA方案不适用于一种物理认证设备,它使用加密和私钥来保护和解锁支持的帐户。

因为它仅对依赖移动文本发送的代码的计划,Duszyński表示并不意味着2FA被打破,但这确实意味着傲慢和组织需要更多地关注网络钓鱼和其他形式的社会工程,旨在窃取合法用户凭据。

“如果您不想始终验证浏览器的URL地址栏中的域名是否不某种恶意或担心,如果还有另一个URL欺骗错误,则考虑切换到U2F协议,”他说。

然而,Duszyński警告说,除了允许URL欺骗和缺乏用户意识的浏览器错误之外,该技术意味着一些组织可以向银板上的对手送到最有价值的资产。

“最后,如果没有足够的用户意识,即使是最复杂的安全防御系统也可能失败,反之亦然,”他说。“

Eset UK网络安全专家Jake Moore警告说,Duszyński的概念验证理念可用于目标攻击,尽管它需要正确的受害者落下网络钓鱼攻击,并且攻击者需要监控被盗的凭据在代码到期之前,实时登录目标帐户,2FA代码。

“这不是一种巨大的网络钓鱼运动的技术,但绝对是首席执行官要意识到的,”他说。“它还强调需要教育人们对网络钓鱼电子邮件的必要性,他们是否有必要在狡猾的链接中输入私人数据。”

摩尔指出,2FA安全代码上的时间限制将有助于减轻这种类型的攻击,因为攻击者将有更短的时间来使用2FA安全代码。他还表示,Authenticator应用程序通常具有更短的时间尺寸来键入每个代码,这将限制攻击者利用使用Duszyński工具收集的代码的能力。

Inaugust 2018,Reddit虽然使用2FA,但仍然是使用2FA的密码违约,根据移动文本消息暴露2FA的弱点。

虽然除了密码之外,虽然2FA是广泛推荐的,但作为提高账户安全的一种方式,冗长使用的移动文本(SMS)2FA,已知已缺陷。

“我们了解到,随着我们希望的,SMS的身份验证并不像我们希望的那样安全,并且主要攻击是通过短信拦截的,”Reddit在Astatement中说。“我们指出这一点,鼓励每个人都搬到基于令牌的2FA。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。