نوشته‌شده در

آسیب پذیری – 2FA / MFA و مدیریت جلسه

سابقه و هدف

محققان اخیراً گزارش كردند كه اشکالات مربوط به وضعیتی را نشان می دهند كه یك وب سایت جلسات فعال ثانویه (جداگانه) را باطل نمی سازد ، زیرا 2FA / MFA در جلسه اولیه فعال شود.

سناریو

  • را در نظر بگیرید user1 در site.com دارای 2FA غیرفعال است.
  • user1 وارد دو جلسه جداگانه می شود
  • user1 2FA را در یکی از جلسه های اولیه
  • user1 مجدداً جلسه دوم را بارگیری می کند ، تا ببیند جلسه ثانویه انجام می شود یا خیر
    بی اعتبار

مغز من

اگرچه منطقی راجع به آن می گیرم ، حتی اگر جلسه ثانویه باطل نشود ، آن را به عنوان یک اشکال امنیتی معتبر نمی دانم. آیا من اینجا چیزی را گم نمی کنم؟ شاید یک PoV متفاوت!

نوشته‌شده در

چند عامل – آیا ایده خوبی است که یک لپ تاپ جدید برای تولید کلیدهای 2FA داشته باشیم؟

من بسیار نگران افرادی هستم که کیبورد یا تروجان را بر روی رایانه خود نصب می کنند.

بعضی ها گفتند که تنها راه مطمئن شدن این است که با انجام اصلاح کامپیوترها

آیا می توانم اطمینان حاصل کنم که هیچ کیبوردی در رایانه من بدون بازنشانی ویندوز وجود ندارد؟

در حالی که هکرهایی که کیلیوگرر را بر روی رایانه های من قرار می دهند ممکن است بتوانند رمز عبور من را دریافت کنند، نمی توانند 2FA خود را دریافت کنند. این زمانی است که من گوگل 2FA را بر روی یک کامپیوتر بسیار امن تولید می کنم.

بنابراین من قصد دارم یک لپ تاپ بخرم. نصب ویندوز و سپس حداقل برنامه ها، مانند بایت های مخرب را نصب کنید (حتی لازم است). سپس 2FA را روی آن لپ تاپ فعال می کنم.

شما چه فکر می کنید؟ یک ایده خوب؟ چه باید بکنم؟

نوشته‌شده در

چند فاکتور – اگر هر یک از 2FA به طور خودکار در 1 گذرنامه وارد شود، آیا مسئله امنیت امکان پذیر است؟

TLDR: از ویژگی خاصی از 1Password استفاده نکنید.

آیا تنها یک رمز عبور تنها با این ویژگی است؟

مدیر رمز عبور من در انتخاب، KeePass همچنین می تواند از طریق یک افزونه پشتیبانی کند. همانطور که برای دیگر مدیران رمز عبور، من نمی دانم

احساس کمی لرز.

این کوچک است که شما می توانید دو عامل خود را به یک ادغام کنید.

کل نقطه 2FA ما نیاز به دو متفاوت مجوز و اکنون آن را به یکی ترکیب کرده است.
  هر شخصی که می تواند به حساب کاربری من 1 پاسپورت دسترسی پیدا کند، تمام پول من را می کشد.

بله، هر کسی که بتواند به 1Password شما دسترسی پیدا کند، می تواند وارد سیستم شود. اما در این مورد، نقطه 2FA کمی متفاوت است. 19659004] پس چه راه حلی است؟

دیگر پس از استفاده از این ویژگی، هیچ راه حلی وجود ندارد. با این حال، من اعتقاد دارم که هیچ مشکلی وجود ندارد.

من اعتقاد دارم که این ویژگی به معنای محافظت از سازش 1Password نیست. این بدین معنی است که برای جلوگیری از آسیب پذیر شدن گذرواژه هنگام وارد شدن آن به کار گرفته شود. در اینجا چند نمونه از رمز عبور ممکن است نشان داده شود:

  • Keylogger و یا سایر نرم افزارهای جاسوسی برداشتن کلیپ بورد هنگامی که شما رمز عبور کپی کنید
  • Keylogger گرفتن رمز عبور با ویژگی های خودکار
  • Accidentaly نجات رمز عبور در مرورگر
  • یک وب مخرب پسورد مرورگر گرفتن رمز عبور
  • یک جاوا اسکریپت مخرب (به عنوان مثال از XSS) گرفتن رمز عبور
  • حمله کننده مجوز ورود به سیستم، به عنوان مثال توسط حمله MITM

در تمام این موارد، مهاجم می تواند شما را به دست آورد رمز عبور، با این حال اگر شما از TOTP 2FA استفاده می کنید، او OTP قدیمی را داشته باشد. بنابراین، او نمیتواند در برخی از این سناریوها وارد سیستم شود و فقط یک بار در بقیه وارد سیستم شوید.

این ویژگی این است که IMO هنگامی مفید است که اعتماد کنید 1Password شما به خطر نمی افتد، اما شما نگران آن هستید رمز عبور نشت اگر احساس می کنید که باید از خودتان محافظت کنید، مخصوصا با استفاده از بانکداری الکترونیکی، باید از تلفن خود استفاده کنید. این برای برنامه های امنیتی کم است.

نوشته‌شده در

احراز هویت – چرا با انواع خاصی از 2fa مضطرب می شوند اگر آنها می توانند به راحتی کنار گذاشته شوند؟

بله، TOTP و HOTP (علاوه بر ایمیل، اس ام اس و غیره) برای این آسیب پذیرند. چرا از آن ها استفاده می کنیم؟ از آنجا که آنها آسان برای پیاده سازی، و آنها انجام ارائه برخی از حفاظت. تا زمانی که اکثریت مردم از هر نوع عامل دوم استفاده نمی کنند ، فیشر بیشتر کاربران را هدف قرار می دهد، زیرا فیشینگ MitM (بحث انگیز) تلاش بیشتری می کند.

من این را قبلا گفتم و من آن را دوباره می گویم، زمانی که اکثر مردم برای استفاده از 2FA خود برای حساب های مهم خود شروع کرده اند، این نوع فیشینگ MitM بسیار شایع خواهد بود. راه برای جلوگیری از این U2F یا webauthn است، که هر دو از رمزنگاری کلید عمومی برای تأیید هویت به سرور استفاده می کنند و با مرورگر ارتباط برقرار می کنند تا مطمئن شوند که نام دامنه ای که بازدید کرده اید، با دامنه ای که کلید آن را ثبت کرده اید، مطابقت دارد.

If شما می خواهید یک وبلاگ طولانی تر و (به نظر من) پست وبلاگ کمتر متعلق به این موضوع را ببینید، من این پست وبلاگ Evilginx 2 را حذف کرده ام و به نظر می رسد همه چیز را به خوبی پوشش می دهد (و حتی در مورد اینکه چگونه دامنه های فیشینگ می توانند از اسکنرهایی که سعی می کنند جلوگیری کنند برای جلوگیری از آنها).

نوشته‌شده در

اس ام اس 2FA متوقف می شود

Reddit فقط نشان داد که آنها در اثر یک SMS متوقف شده 2FA تجربه نقض امنیتی را تجربه کردند. یکی دیگر از پست در SMS 2FA اشاره به نقص در پروتکل ss7 مخابرات است که برای انجام نقض استفاده شد.

من مطمئن نیستم که آیا رویداد Reddit شامل تکنیک ss7 یا نوعی فیشینگ کیت برای دریافت کد مخرب روی دستگاهی است که SMS دریافت کرده است. با این حال اگر از منفذ استفاده می شد انتظار داشتم که دستگاه اصلی پیام را دریافت کند و مالک متوجه شود که آن را درخواست نکرده و به تیم امنیت شرکت خود هشدار داده است. گفته می شود که آیا هکرها می توانند دستگاه قانونی را از درخواست خود برای SMS 2FA متوقف کنند یا اینکه آنها مجبور بودند صبر کنند تا هدف را درخواست کنند و فقط سعی در ضرب و شتم آنها برای ورود به سیستم داشته باشند؟