Puede pensar que habilitar la autenticación de dos factores en su cuenta la hace 100% segura. La autenticación de dos factores^{(Two-factor authentication)} es uno de los mejores métodos para proteger su cuenta. Pero es posible que se sorprenda al saber que su cuenta puede ser secuestrada a pesar de habilitar la autenticación de dos factores. En este artículo, le diremos las diferentes formas en que los atacantes pueden eludir la autenticación de dos factores.

¿Qué es la autenticación^{(Authentication)} de dos factores (2FA)?

Antes de comenzar, veamos qué es 2FA. Sabes que tienes que introducir una contraseña para iniciar sesión en tu cuenta. Sin la contraseña correcta, no puede iniciar sesión. 2FA es el proceso de agregar una capa de seguridad adicional a su cuenta. Después de habilitarlo, no puede iniciar sesión en su cuenta ingresando solo la contraseña. Tienes que completar un paso de seguridad más. Esto significa que en 2FA, el sitio web verifica al usuario en dos pasos.

Leer^(Read) : Cómo habilitar la verificación en dos pasos en la cuenta de Microsoft^{(How to Enable 2-step Verification in Microsoft Account)} .

¿Cómo funciona 2FA?

Comprendamos el principio de funcionamiento de la autenticación de dos factores. El 2FA requiere que te verifiques dos veces. Cuando ingrese su nombre de usuario y contraseña, será redirigido a otra página, donde deberá proporcionar una segunda prueba de que usted es la persona real que intenta iniciar sesión. Un sitio web puede usar cualquiera de los siguientes métodos de verificación:

OTP (contraseña de un solo uso)

Después de ingresar la contraseña, el sitio web le indica que se verifique ingresando la OTP enviada a su número de teléfono móvil registrado. Después de ingresar la OTP^(OTP) correcta , puede iniciar sesión en su cuenta.

Notificación rápida

La notificación rápida se muestra en su teléfono inteligente si está conectado a Internet. Tienes que verificarte tocando el botón " Sí^(Yes) ". Después de eso, iniciará sesión en su cuenta en su PC.

Códigos de respaldo

Los códigos de respaldo^(Backup) son útiles cuando los dos métodos de verificación anteriores no funcionan. Puede iniciar sesión en su cuenta ingresando cualquiera de los códigos de respaldo que ha descargado de su cuenta.

Aplicación de autenticación

En este método, debe conectar su cuenta con una aplicación de autenticación. Siempre que desee iniciar sesión en su cuenta, debe ingresar el código que se muestra en la aplicación de autenticación instalada en su teléfono inteligente.

Hay varios métodos más de verificación que un sitio web puede usar.

Lea^(Read) : Cómo agregar la verificación en dos pasos a su cuenta de Google^{(How To Add Two-step Verification To Your Google Account)} .

Cómo los piratas informáticos pueden eludir la autenticación de dos factores^{(Two-factor Authentication)}

Sin duda, 2FA hace que su cuenta sea más segura. Pero todavía hay muchas formas en que los piratas informáticos pueden eludir esta capa de seguridad.

1] Robo de cookies^{(Cookie Stealing)} o secuestro de sesión^{(Session Hijacking)}

El robo de cookies o el secuestro de sesión^{(Cookie stealing or session hijacking)} es el método de robar la cookie de sesión del usuario. Una vez que el pirata informático logra robar la cookie de sesión, puede omitir fácilmente la autenticación de dos factores. Los atacantes conocen muchos métodos de secuestro, como fijación de sesión, rastreo de sesión, secuencias de comandos entre sitios, ataque de malware, etc. Evilginx se encuentra entre los marcos populares que los piratas informáticos usan para realizar un ataque de intermediario. En este método, el pirata informático envía un enlace de phishing al usuario que lo lleva a una página de inicio de sesión de proxy. Cuando el usuario inicia sesión en su cuenta mediante 2FA, Evilginx captura sus credenciales de inicio de sesión junto con el código de autenticación. Desde la Fiscalía^(OTP)caduca después de usarlo y también es válido durante un período de tiempo determinado, no sirve de nada capturar el código de autenticación. Pero el pirata informático tiene cookies de sesión del usuario, que puede usar para iniciar sesión en su cuenta y omitir la autenticación de dos factores.

2] Generación de código duplicado

Si ha utilizado la aplicación Google Authenticator , sabe que genera nuevos códigos después de un tiempo determinado. Google Authenticator y otras aplicaciones de autenticación funcionan con un algoritmo particular. Los generadores de código aleatorio^(Random) generalmente comienzan con un valor inicial para generar el primer número. Luego, el algoritmo usa este primer valor para generar los valores de código restantes. Si el pirata informático puede comprender este algoritmo, puede crear fácilmente un código duplicado e iniciar sesión en la cuenta del usuario.

3] Fuerza bruta

Brute Force es una técnica para generar todas las combinaciones de contraseñas posibles. El tiempo para descifrar una contraseña usando fuerza bruta depende de su longitud. Cuanto más larga sea la contraseña, más tiempo llevará descifrarla. En general, los códigos de autenticación tienen de 4 a 6 dígitos, los piratas informáticos pueden intentar un intento de fuerza bruta para eludir el 2FA. Pero hoy, la tasa de éxito de los ataques de fuerza bruta es menor. Esto se debe a que el código de autenticación sigue siendo válido solo por un período breve.

4] Ingeniería Social

La ingeniería social es la técnica en la que un atacante intenta engañar a la mente del usuario y lo obliga a ingresar sus credenciales de inicio de sesión en una página de inicio de sesión falsa. No importa si el atacante conoce su nombre de usuario y contraseña o no, puede eludir la autenticación de dos factores. ¿Cómo? Veamos:

Consideremos el primer caso en el que el atacante conoce su nombre de usuario y contraseña. No puede iniciar sesión en su cuenta porque ha habilitado 2FA. Para obtener el código, puede enviarle un correo electrónico con un enlace malicioso, creando en usted el temor de que su cuenta pueda ser pirateada si no toma medidas inmediatas. Cuando haga clic en ese enlace, será redirigido a la página del hacker que imita la autenticidad de la página web original. Una vez que ingrese el código de acceso, su cuenta será pirateada.

Ahora, tomemos otro caso en el que el pirata informático no conoce su nombre de usuario y contraseña. Nuevamente^(Again) , en este caso, te envía un enlace de phishing y roba tu nombre de usuario y contraseña junto con el código 2FA.

5] OAuth

La integración de OAuth^(OAuth) brinda a los usuarios la posibilidad de iniciar sesión en su cuenta utilizando una cuenta de terceros. Es una aplicación web de renombre que utiliza tokens de autorización para probar la identidad entre los usuarios y los proveedores de servicios. Puede considerar OAuth como una forma alternativa de iniciar sesión en sus cuentas.

Un mecanismo OAuth funciona de la siguiente manera:^(OAuth)

1. El sitio A solicita al sitio B^{(Site B)} (por ejemplo, Facebook ) un token de autenticación.
2. El sitio B^{(Site B)} considera que la solicitud es generada por el usuario y verifica la cuenta del usuario.
3. El sitio B^{(Site B)} luego envía un código de devolución de llamada y permite que el atacante inicie sesión.

En los procesos anteriores, hemos visto que el atacante no requiere verificarse a sí mismo a través de 2FA. Pero para que este mecanismo de elusión funcione, el pirata informático debe tener el nombre de usuario y la contraseña de la cuenta de usuario.

Así es como los piratas informáticos pueden eludir la autenticación de dos factores de la cuenta de un usuario.

¿Cómo evitar la omisión de 2FA?

De hecho, los piratas informáticos pueden eludir la autenticación de dos factores, pero en cada método necesitan el consentimiento de los usuarios, que obtienen al engañarlos. Sin engañar a los usuarios, no es posible eludir 2FA. Por^(Hence) lo tanto, debe cuidar los siguientes puntos:

• Antes de hacer clic en cualquier enlace, compruebe su autenticidad. Puede hacerlo comprobando la dirección de correo electrónico del remitente.
• Cree una contraseña segura^{(Create a strong password)} que contenga una combinación de letras, números y caracteres especiales.
• Use solo aplicaciones de autenticación genuinas, como el autenticador de Google , el autenticador de ^(Google)Microsoft , etc.
• Descargue^(Download) y guarde los códigos de respaldo en un lugar seguro.
• Nunca confíe en los correos electrónicos de phishing que los piratas informáticos usan para engañar a las mentes de los usuarios.
• No comparta los códigos de seguridad con nadie.
• Configure^(Setup) la clave de seguridad en su cuenta, una alternativa a 2FA.
• Siga cambiando su contraseña regularmente.

Lea^(Read) : Sugerencias para mantener a los piratas informáticos fuera de su computadora con Windows^{(Tips to Keep Hackers out of your Windows computer)} .

Conclusión

La autenticación de dos factores es una capa de seguridad eficaz que protege su cuenta del secuestro. Los piratas informáticos siempre quieren tener la oportunidad de eludir 2FA. Si conoce los diferentes mecanismos de piratería y cambia su contraseña con regularidad, puede proteger mejor su cuenta.

How Hackers can get around Two-factor Authentication

You may think that enabling two-factor authenticatiоn on yоur accoυnt makes it 100% secure. Two-factor authentication is among the best methods to protect your account. But you may be surprised to hear that your account can be hijacked despite enabling two-factor authentication. In this article, we will tell you the different ways by which attackers can bypass two-factor authentication.

What is Two-factor Authentication (2FA)?

Before we begin, let’s see what 2FA is. You know that you have to enter a password to log into your account. Without the correct password, you cannot log in. 2FA is the process of adding an extra security layer to your account. After enabling it, you cannot log into your account by entering the password only. You have to complete one more security step. This means in 2FA, the website verifies the user in two steps.

Read: How to Enable 2-step Verification in Microsoft Account.

How Does 2FA Work?

Let’s understand the working principle of two-factor authentication. The 2FA requires you to verify yourself two times. When you enter your username and password, you will be redirected to another page, where you have to provide a second proof that you are the real person trying to log in. A website can use any of the following verification methods:

OTP (One Time Password)

After entering the password, the website tells you to verify yourself by entering the OTP sent on your registered mobile number. After entering the correct OTP, you can log into your account.

Prompt Notification

Prompt notification is displayed on your smartphone if it is connected to the internet. You have to verify yourself by tapping on the “Yes” button. After that, you will be logged into your account on your PC.

Backup Codes

Backup codes are useful when the above two methods of verification won’t work. You can log into your account by entering any one of the backup codes you have downloaded from your account.

Authenticator App

In this method, you have to connect your account with an authenticator app. Whenever you want to log into your account, you have to enter the code displayed on the authenticator app installed on your smartphone.

There are several more methods of verification that a website can use.

Read: How To Add Two-step Verification To Your Google Account.

How Hackers can get around Two-factor Authentication

Undoubtedly, 2FA makes your account more secure. But there are still many ways by which hackers can bypass this security layer.

1] Cookie Stealing or Session Hijacking

Cookie stealing or session hijacking is the method of stealing the session cookie of the user. Once the hacker gets success in stealing the session cookie, he can easily bypass the two-factor authentication. Attackers know many methods of hijacking, like session fixation, session sniffing, cross-site scripting, malware attack, etc. Evilginx is among the popular frameworks that hackers use to perform a man-in-the-middle attack. In this method, the hacker sends a phishing link to the user that takes him to a proxy login page. When the user logs into his account using 2FA, Evilginx captures his login credentials along with the authentication code. Since the OTP expires after using it and also valid for a particular time frame, there is no use in capturing the authentication code. But the hacker has the user’s session cookies, which he can use to log into his account and bypass the two-factor authentication.

2] Duplicate Code Generation

If you have used the Google Authenticator app, you know that it generates new codes after a particular time. Google Authenticator and other authenticator apps work on a particular algorithm. Random code generators generally start with a seed value to generate the first number. The algorithm then uses this first value to generate the remaining code values. If the hacker is able to understand this algorithm, he can easily create a duplicate code and log into the user’s account.

3] Brute Force

Brute Force is a technique to generate all the possible password combinations. The time for cracking a password using brute force depends on its length. The longer the password is, the more time it takes to crack it. Generally, the authentication codes are from 4 to 6 digits long, hackers can try a brute force attempt to bypass the 2FA. But today, the success rate of brute force attacks is less. This is because the authentication code remains valid only for a short period.

4] Social Engineering

Social Engineering is the technique in which an attacker tries to trick the user’s mind and forces him to enter his login credentials on a fake login page. No matter whether the attacker knows your username and password or not, he can bypass the two-factor authentication. How? Let’s see:

Let’s consider the first case in which the attacker knows your username and password. He cannot log into your account because you have enabled 2FA. To get the code, he can send you an email with a malicious link, creating a fear in you that your account can be hacked if you do not take immediate action. When you click on that link, you will be redirected to the hacker’s page that mimics the authenticity of the original webpage. Once you enter the passcode, your account will be hacked.

Now, let’s take another case in which the hacker does not know your username and password. Again, in this case, he sends you a phishing link and steals your username and password along with the 2FA code.

5] OAuth

OAuth integration provides users with a facility to log into their account using a third-party account. It is a reputed web application that uses authorization tokens to prove identity between the users and service providers. You can consider OAuth an alternate way to log into your accounts.

An OAuth mechanism works in the following way:

1. Site A requests Site B (e.g. Facebook) for an authentication token.
2. Site B considers that the request is generated by the user and verifies the user’s account.
3. Site B then sends a callback code and lets the attacker sign in.

In the above processes, we have seen that the attacker does not require to verify himself via 2FA. But for this bypass mechanism to work, the hacker should have the user’s account username and password.

This is how hackers can bypass the two-factor authentication of a user’s account.

How to prevent 2FA bypassing?

Hackers can indeed bypass the two-factor authentication, but in each method, they need the users’ consent which they get by tricking them. Without tricking the users, bypassing 2FA is not possible. Hence, you should take care of the following points:

• Before clicking on any link, please check its authenticity. You can do this by checking the sender’s email address.
• Create a strong password that contains a combination of alphabets, numbers, and special characters.
• Use only genuine authenticator apps, like Google authenticator, Microsoft authenticator, etc.
• Download and save the backup codes at a safe place.
• Never trust phishing emails that hackers use to trick the users’ minds.
• Do not share security codes with anyone.
• Setup security key on your account, an alternative to 2FA.
• Keep changing your password regularly.

Read: Tips to Keep Hackers out of your Windows computer.

Conclusion

Two-factor authentication is an effective security layer that protects your account from hijacking. Hackers always want to get a chance to bypass 2FA. If you are aware of different hacking mechanisms and change your password regularly, you can protect your account better.

Related posts

• Cómo habilitar Two-Factor Authentication en Discord

• Cómo configurar correctamente las opciones de recuperación y copia de seguridad para la autenticación de dos factores

• Cómo instalar Drupal usando WAMP en Windows

• Best Software & Hardware Bitcoin Wallets para Windows, IOS, Android

• Setup Internet Radio Station GRATIS EN Windows PC

• Diferencia entre Analog, Digital and Hybrid computers

• Cómo crear auto-firmado SSL Certificates en Windows 10

• Fix Partner no se conectó al error del enrutador en TeamViewer en Windows 10

• Cómo hacer Invitation Card en Windows PC

• Cómo proteger la contraseña y proteger los documentos PDf con LibreOffice

• Traiga su propio Device (BYOD) Advantages, Best Practices, etc

• Cómo Encrypt y agregar contraseñas a documentos LibreOffice

• Disqus comment Caja que no se carga ni se muestra para un sitio web

• Zip file es un error demasiado grande al descargar archivos de DropBox

• Bloqueado de Plex Server and Server Settings? ¡Aquí está la corrección!

• ¿Cómo cerrar tu Payoneer Account?

• Whiteboard Fox es un online whiteboard gratuito que permite real-time sharing

• Las mejores herramientas para enviar SMS gratis de su computadora

• NASA's Eyes te ayuda a explorar el Universe como Astronauts

• Se produjo un error al verificar las actualizaciones en VLC