کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن
خرید کریو خرید وی پی ان خرید VPN خرید فیلترشکن
در مدل MFA درک می شود که عوامل متعددی از خارج از فرآیند تأیید هویت خود است. دیگر فرآیندهای تأیید هویت به طور ذاتی MFA (خود به اضافه اعتبار کاربر) است.
بنابراین، به لپ تاپ، خود را به عنوان یک عامل محسوب نمی کند. فاکتورهای خارجی ، مانند بیومتریک، نشانه ها، کد های یک بار و غیره وجود دارد.
بله، TOTP و HOTP (علاوه بر ایمیل، اس ام اس و غیره) برای این آسیب پذیرند. چرا از آن ها استفاده می کنیم؟ از آنجا که آنها آسان برای پیاده سازی، و آنها انجام ارائه برخی از حفاظت. تا زمانی که اکثریت مردم از هر نوع عامل دوم استفاده نمی کنند ، فیشر بیشتر کاربران را هدف قرار می دهد، زیرا فیشینگ MitM (بحث انگیز) تلاش بیشتری می کند.
من این را قبلا گفتم و من آن را دوباره می گویم، زمانی که اکثر مردم برای استفاده از 2FA خود برای حساب های مهم خود شروع کرده اند، این نوع فیشینگ MitM بسیار شایع خواهد بود. راه برای جلوگیری از این U2F یا webauthn است، که هر دو از رمزنگاری کلید عمومی برای تأیید هویت به سرور استفاده می کنند و با مرورگر ارتباط برقرار می کنند تا مطمئن شوند که نام دامنه ای که بازدید کرده اید، با دامنه ای که کلید آن را ثبت کرده اید، مطابقت دارد.
If شما می خواهید یک وبلاگ طولانی تر و (به نظر من) پست وبلاگ کمتر متعلق به این موضوع را ببینید، من این پست وبلاگ Evilginx 2 را حذف کرده ام و به نظر می رسد همه چیز را به خوبی پوشش می دهد (و حتی در مورد اینکه چگونه دامنه های فیشینگ می توانند از اسکنرهایی که سعی می کنند جلوگیری کنند برای جلوگیری از آنها).
Reddit فقط نشان داد که آنها در اثر یک SMS متوقف شده 2FA تجربه نقض امنیتی را تجربه کردند. یکی دیگر از پست در SMS 2FA اشاره به نقص در پروتکل ss7 مخابرات است که برای انجام نقض استفاده شد.
من مطمئن نیستم که آیا رویداد Reddit شامل تکنیک ss7 یا نوعی فیشینگ کیت برای دریافت کد مخرب روی دستگاهی است که SMS دریافت کرده است. با این حال اگر از منفذ استفاده می شد انتظار داشتم که دستگاه اصلی پیام را دریافت کند و مالک متوجه شود که آن را درخواست نکرده و به تیم امنیت شرکت خود هشدار داده است. گفته می شود که آیا هکرها می توانند دستگاه قانونی را از درخواست خود برای SMS 2FA متوقف کنند یا اینکه آنها مجبور بودند صبر کنند تا هدف را درخواست کنند و فقط سعی در ضرب و شتم آنها برای ورود به سیستم داشته باشند؟
می گویند یک کاربر از یک برنامه چت رایج مانند Telegram، Signal، Whatsapp، Ricochet استفاده می کند.
دستگاه او هک می شود و کلید خصوصی به سرقت رفته است. برای استفاده از نرم افزار PGP با استفاده از ایمیل، می توانید از دو عامل تأیید اعتبار استفاده کنید و به عنوان مثال کلید yubikey را ذخیره کنید. آیا چیزی مشابه با آن برنامه های چت ممکن است، به عنوان مثال دستگاه 2FA باید در همه زمان ها متصل شود و بدون آن چت امکان پذیر باشد؟
من به دنبال یک دستگاه برای انجام مدیریت رمز عبور سخت افزاری بسیار شبیه به trezor (این ویدیو را ببینید https://www.youtube.com/watch؟v=5Jva-vcFQjE)
متاسفانه، trezor فقط یک فروشگاه کلید decryption در دستگاه است و در عوض باید کلمه عبور آنلاین را ذخیره کند (dropbox / gcloud) که برای من غیر استارتر است.
بنابراین اساسا یک دستگاه سخت افزاری مثل trezor که میتواند رمزهای عبور من را در آن ذخیره کند، رمزگذاری شده است. هنگامی که شما برای درخواست یک رمز عبور می روید، تنها رمز عبور را برای شما ارسال می کند، نه کل لیست. مدیریت کلمه عبور و درخواست بسیار شبیه ویدیو بالا خواهد بود.
کل نقطه این گردش کار بدترین سناریو است که شما در حال تروجان یا کلاینت هستید این است که بیشتر آنها هرگز نمیتوانند هر کلمه عبوری را که شما برای کپی کردن در حالی که آنها تماشا می کنند. آنها نمی توانند کل رمز عبور DB را از دستگاه خارج کنند، زیرا شما نیاز به کلیک فیزیکی و تایید هر عملیات بازیابی دارید.
آیا چنین دستگاهی در حال حاضر وجود دارد؟
