Как легко определить 7 признаков плохой реализации 2FA
21 мая 2022 г.Я включаю 2FA каждый раз, когда это возможно, и призываю вас делать то же самое.
2FA означает двухфакторную аутентификацию. Это дополнительный уровень безопасности, который заставляет вас вводить одноразовые пароли (OTP) в дополнение к вашим классическим учетным данным (логин/пароль).
Большую часть времени это набор из 6-8 номеров, которые отправляются по SMS или генерируются с помощью специального мобильного приложения. Таким образом, фактором аутентификации является другое устройство, например смартфон.
Кроме того, даже если ваши учетные данные будут украдены или просочились, хакеры не смогут их использовать теоретически. Проблема в том, что некоторые реализации ошибочны или подвержены атакам.
Отказ от ответственности
Это не исчерпывающий список, а набор простых наблюдений.
7 признаков плохой реализации 2FA
- Сгенерированный одноразовый пароль не истекает даже через несколько часов.
- Вы можете напрямую получить доступ к URL-адресу, например, к своей панели администратора, поэтому двухфакторную аутентификацию можно полностью обойти.
- Процесс двухфакторной аутентификации зависит от заголовка или кода состояния, который можно изменить на стороне клиента.
- Количество попыток входа в систему с помощью OTP не ограничено, поэтому хакеры могут легко взломать код методом грубой силы*
- 2FA автоматически отключается при восстановлении паролей.
- Повторная отправка кода сбрасывает лимит попыток входа.
- Процедуры двухфакторной аутентификации раскрывают конфиденциальную информацию, например «мы отправили код аутентификации на номер +12277777777».
*6-8 цифр эквивалентны очень слабому паролю при атаке Brute-Force
Как исправить ситуацию
Опять же, включение 2FA является допустимым выбором, независимо от реализации, но если вы видите что-то странное, например, один из 7 признаков, которые мы только что видели, не стесняйтесь сообщить об этом в приложения/веб-сайты/сервисы.
К счастью, не все реализации настолько плохи. Хотя даже самые надежные из них можно обойти при определенных условиях, двухфакторная аутентификация значительно повышает вашу безопасность.
- Совместно опубликовано [здесь] (https://dev.to/jmau111/how-to-spot-poor-implementations-of-2fa-4akh)*
Оригинал