Hoe hackers twee-factor-authenticatie kunnen omzeilen

U denkt misschien dat het inschakelen van tweefactorauthenticatie op uw account 100% veilig is. Twee-factor-authenticatie(Two-factor authentication) is een van de beste methoden om uw account te beschermen. Maar het zal je misschien verbazen te horen dat je account kan worden gekaapt ondanks het inschakelen van tweefactorauthenticatie. In dit artikel vertellen we je op welke verschillende manieren aanvallers two-factor authenticatie kunnen omzeilen.

Hoe hackers twee-factor-authenticatie kunnen omzeilen

Wat is tweefactorauthenticatie(Authentication) (2FA)?

Voordat we beginnen, laten we eens kijken wat 2FA is. U weet dat u een wachtwoord moet invoeren om in te loggen op uw account. Zonder het juiste wachtwoord kunt u niet inloggen. 2FA is het proces van het toevoegen van een extra beveiligingslaag aan uw account. Nadat u het hebt ingeschakeld, kunt u niet inloggen op uw account door alleen het wachtwoord in te voeren. U moet nog een beveiligingsstap voltooien. Dit betekent in 2FA dat de website de gebruiker in twee stappen verifieert.

Lezen(Read) : 2-stapsverificatie inschakelen in Microsoft-account(How to Enable 2-step Verification in Microsoft Account) .

Hoe werkt 2FA?

Laten we het werkingsprincipe van tweefactorauthenticatie begrijpen. De 2FA vereist dat je jezelf twee keer verifieert. Wanneer u uw gebruikersnaam en wachtwoord invoert, wordt u doorgestuurd naar een andere pagina, waar u een tweede bewijs moet overleggen dat u de echte persoon bent die probeert in te loggen. Een website kan een van de volgende verificatiemethoden gebruiken:

OTP (eenmalig wachtwoord)

Omzeil twee-factor-authenticatie OTP

Na het invoeren van het wachtwoord, vertelt de website u om uzelf te verifiëren door de OTP in te voeren die op uw geregistreerde mobiele nummer is verzonden. Na het invoeren van de juiste OTP kunt u inloggen op uw account.

Snelle melding

Twee-factor-authenticatie promptmelding omzeilen

Er wordt een prompte melding weergegeven op uw smartphone als deze is verbonden met internet. U moet uzelf verifiëren door op de knop " Ja(Yes) " te tikken. Daarna bent u ingelogd op uw account op uw pc.

Back-upcodes

Twee-factor-authenticatie back-upcode omzeilen

Back-(Backup) upcodes zijn handig wanneer de bovenstaande twee verificatiemethoden niet werken. U kunt inloggen op uw account door een van de back-upcodes in te voeren die u van uw account hebt gedownload.

Authenticator-app

Bypass Two-factor Authentication Authenticator-app

Bij deze methode moet u uw account verbinden met een authenticator-app. Wanneer u zich wilt aanmelden bij uw account, moet u de code invoeren die wordt weergegeven op de authenticator-app die op uw smartphone is geïnstalleerd.

Er zijn nog meer verificatiemethoden die een website kan gebruiken.

Lezen(Read) : Tweestapsverificatie toevoegen aan uw Google-account(How To Add Two-step Verification To Your Google Account) .

Hoe hackers twee-factor-authenticatie(Two-factor Authentication) kunnen omzeilen

Ongetwijfeld maakt 2FA uw account veiliger. Maar er zijn nog steeds veel manieren waarop hackers deze beveiligingslaag kunnen omzeilen.

1] Cookiestelen(Cookie Stealing) of sessiekaping(Session Hijacking)

Het stelen van cookies of het kapen van sessies(Cookie stealing or session hijacking) is de methode om de sessiecookie van de gebruiker te stelen. Zodra de hacker succes heeft met het stelen van de sessiecookie, kan hij de tweefactorauthenticatie gemakkelijk omzeilen. Aanvallers kennen veel methoden van kaping, zoals sessiefixatie, sessiesniffing, cross-site scripting, malware-aanval, enz. Evilginx is een van de populaire frameworks die hackers gebruiken om een ​​man-in-the-middle-aanval uit te voeren. Bij deze methode stuurt de hacker een phishing-link naar de gebruiker die hem naar een proxy-inlogpagina brengt. Wanneer de gebruiker inlogt op zijn account met 2FA, legt Evilginx zijn inloggegevens vast samen met de authenticatiecode. Sinds de OTPvervalt na gebruik en ook geldig is voor een bepaald tijdsbestek, heeft het geen zin om de authenticatiecode vast te leggen. Maar de hacker heeft de sessiecookies van de gebruiker, waarmee hij kan inloggen op zijn account en de tweefactorauthenticatie kan omzeilen.

2] Dubbele code genereren

Als je de Google Authenticator- app hebt gebruikt, weet je dat deze na een bepaalde tijd nieuwe codes genereert. Google Authenticator en andere authenticator-apps werken op een bepaald algoritme. Willekeurige(Random) codegeneratoren beginnen over het algemeen met een startwaarde om het eerste getal te genereren. Het algoritme gebruikt vervolgens deze eerste waarde om de resterende codewaarden te genereren. Als de hacker dit algoritme kan begrijpen, kan hij eenvoudig een dubbele code maken en inloggen op het account van de gebruiker.

3] Brute kracht

Brute Force is een techniek om alle mogelijke wachtwoordcombinaties te genereren. De tijd voor het kraken van een wachtwoord met brute kracht hangt af van de lengte ervan. Hoe langer het wachtwoord is, hoe meer tijd het kost om het te kraken. Over het algemeen zijn de authenticatiecodes 4 tot 6 cijfers lang, hackers kunnen een brute force-poging doen om de 2FA te omzeilen. Maar tegenwoordig is het slagingspercentage van brute force-aanvallen minder. De authenticatiecode blijft namelijk maar voor een korte periode geldig.

4] Sociale techniek

Social Engineering is de techniek waarbij een aanvaller de gebruiker probeert te misleiden en hem dwingt zijn inloggegevens in te voeren op een valse inlogpagina. Het maakt niet uit of de aanvaller uw gebruikersnaam en wachtwoord kent of niet, hij kan de tweefactorauthenticatie omzeilen. Hoe? Laten we eens kijken:

Laten we eens kijken naar het eerste geval waarin de aanvaller uw gebruikersnaam en wachtwoord kent. Hij kan niet inloggen op je account omdat je 2FA hebt ingeschakeld. Om de code te krijgen, kan hij u een e-mail sturen met een kwaadaardige link, waardoor u de angst krijgt dat uw account kan worden gehackt als u niet onmiddellijk actie onderneemt. Wanneer u op die link klikt, wordt u doorgestuurd naar de pagina van de hacker die de authenticiteit van de originele webpagina nabootst. Zodra u de toegangscode invoert, wordt uw account gehackt.

Laten we nu een ander geval nemen waarin de hacker uw gebruikersnaam en wachtwoord niet kent. Nogmaals(Again) , in dit geval stuurt hij je een phishing-link en steelt hij je gebruikersnaam en wachtwoord samen met de 2FA-code.

5] OAuth

OAuth -integratie biedt gebruikers de mogelijkheid om in te loggen op hun account met een account van een derde partij. Het is een gereputeerde webtoepassing die autorisatietokens gebruikt om de identiteit tussen de gebruikers en serviceproviders te bewijzen. U kunt OAuth beschouwen als een alternatieve manier om in te loggen op uw accounts.

Een OAuth- mechanisme werkt als volgt:

  1. Site A vraagt ​​Site B (bijv . Facebook ) om een ​​authenticatietoken.
  2. Site B is van mening dat het verzoek is gegenereerd door de gebruiker en verifieert het account van de gebruiker.
  3. Site B stuurt vervolgens een terugbelcode en laat de aanvaller inloggen.

In de bovenstaande processen hebben we gezien dat de aanvaller zich niet via 2FA hoeft te verifiëren. Maar om dit bypass-mechanisme te laten werken, moet de hacker de gebruikersnaam en het wachtwoord van de gebruikersaccount hebben.

Op deze manier kunnen hackers de tweefactorauthenticatie van het account van een gebruiker omzeilen.

Hoe 2FA-bypassing te voorkomen?

Hackers kunnen inderdaad de twee-factor-authenticatie omzeilen, maar bij elke methode hebben ze de toestemming van de gebruikers nodig die ze krijgen door ze te misleiden. Zonder de gebruikers te misleiden, is het omzeilen van 2FA niet mogelijk. Daarom(Hence) moet u op de volgende punten letten:

  • Controleer de authenticiteit ervan voordat u op een link klikt. U kunt dit doen door het e-mailadres van de afzender te controleren.
  • Maak een sterk wachtwoord(Create a strong password) dat een combinatie van alfabetten, cijfers en speciale tekens bevat.
  • Gebruik(Use) alleen echte authenticator-apps, zoals Google -authenticator, Microsoft -authenticator, enz.
  • Download en bewaar de back-upcodes op een veilige plaats.
  • Vertrouw nooit phishing-e-mails die hackers gebruiken om de geest van de gebruikers te misleiden.
  • Deel beveiligingscodes met niemand.
  • Stel(Setup) een beveiligingssleutel in op uw account, een alternatief voor 2FA.
  • Verander regelmatig uw wachtwoord.

Lees(Read) : Tips om hackers buiten uw Windows-computer te houden(Tips to Keep Hackers out of your Windows computer) .

Conclusie

Twee-factor-authenticatie is een effectieve beveiligingslaag die uw account beschermt tegen kaping. Hackers willen altijd een kans krijgen om 2FA te omzeilen. Als u op de hoogte bent van verschillende hackmechanismen en uw wachtwoord regelmatig wijzigt, kunt u uw account beter beschermen.



Naud van der Linden

About the author

Ik ben een ervaren software engineer, met meer dan 10 jaar ervaring in het ontwikkelen en onderhouden van Microsoft Office applicaties. Ik heb een sterke passie om anderen te helpen hun doelen te bereiken, zowel door mijn werk als software engineer als door mijn spreek- en netwerkvaardigheden. Ik ben ook zeer goed geïnformeerd over hardware- en toetsenbordstuurprogramma's, aangezien ik er veel zelf heb ontwikkeld en getest.


Related posts