安基网 首页 资讯 安全报 查看内容

预防黑客绕过双重认证网络攻击的方法

2020-9-16 14:52| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 双重认证(2factor Authentication,2FA)又译为双因素认证、二元认证,又称两步骤验证(2-Step Verification又译两步验证)已在许多组织中推出,作为基线安全是许多CISO(首席信息安全官)的首要任务之一,双重验证(2FA)几乎是当下最靠谱的账户安全保护措施了。但世界瞬息万变,攻击者们不断地破坏 ...

双重认证(2factor Authentication,2FA)又译为双因素认证、二元认证,又称两步骤验证(2-Step Verification又译两步验证)已在许多组织中推出,作为基线安全是许多CISO(首席信息安全官)的首要任务之一,双重验证(2FA)几乎是当下最靠谱的账户安全保护措施了。但世界瞬息万变,攻击者们不断地破坏企业的安全基础设施。今天,我们来了解一下攻击者如何在数字世界中绕过2FA。

传奇黑客,凯文·米特尼克发现了一个双因素认证新的安全漏洞,通过向用户发送钓鱼登录页面,然后窃取用户名、密码和会话cookie,就可以绕过双重验证。

这位15岁就成功入侵北美防空指挥系统的KnowBe4首席黑客官(CHO)在一段公开的视频中演示了如何进行入侵。他通过诱导受害者访问类似于“LunkedIn.com”这样容易与知名网站混淆的域名,记录用户名、密码和双重验证码,便可以获取相关信息以及cookie文件。一旦完成这个步骤,黑客就可以直接登录受害者的账号,让双重验证形同虚设。

接下来让我们看看基于令牌的身份验证,它在公共SaaS(Software-as-a-Service软件即服务)应用中被广泛使用。基于令牌的身份验证是无状态的。因此,应用程序不会在服务器或会话中存储任何有关用户的信息。每一个请求都需要在HTTP报头中发送的令牌,这样我们就可以理解无状态HTTP请求的思想。基于令牌的身份验证提供了安全性和可伸缩性的好处,因为存储在客户端的令牌是完全无状态的,并且可以扩展。负载平衡器能够将用户传递到他们的任何服务器,因为任何地方都没有状态或会话信息。令牌(而不是cookie)将在每个请求上发送,并且由于没有发送cookie,因此这种身份验证方法有助于防止跨站点请求伪造攻击。

SaaS应用程序将基于令牌的身份验证与2FA相结合,以提供强身份验证。然而,它仍然容易受到精心设计的网络钓鱼攻击。

攻击者可以购买一个域名,该域名可能是字符遗漏或诱导目标攻击应用程序域的位翻转。

然后,攻击者利用Evilginx2,这是一个中间人攻击框架,用于仿冒登录凭据和会话cookie,进而允许绕过2FA保护。

1.仿冒用户收到电子邮件并被要求访问登录页面。

2.网络钓鱼URL将用户定向到eviginx服务器上托管的假域,该服务器是合法web应用程序服务登录页的代理。假冒网站的网站内容看起来与合法网络应用服务的网站内容相同,域名与合法网络应用略有不同。

3.当用户输入用户名和密码时,它们将通过Evilginx服务器传递到网站。

4.web应用程序服务向用户触发2FA请求。

5.用户响应2FA请求。

6.Web应用程序服务验证和验证2FA。

7.Web应用程序服务通过evillginx服务器向用户发出令牌。

8.evillginx服务器捕获令牌,攻击者可以使用另一台计算机上的令牌访问用户授予访问权限的资源或服务。

 那么有什么方法可以预防避免这种攻击呢?

1.实施云应用的访问代理,如在云上采用身份和访问管理(IAM)解决方案,为公司web/SaaS web应用程序提供条件访问策略。通过部署条件访问策略,IAM将检查请求访问的设备的状态,即该设备是公司管理的设备还是未知设备;或者IAM将检查设备的登录位置,即访问请求是从办公网络还是在非现场生成的。

2.在2FA的基础上结合其他因素,形成一个多因素认证(Multiple Factor Authentication,MFA)。

3.实现自适应MFA,它基于不熟悉的登录位置、Tor网络等动态智能选择合适的MFA。

4.部署Fast IDentity Online(FIDO)联盟的Universal Second Factor Authentication(U2F)。U2F协议被设计成将网站的域作为协商握手的关键组件之一。如果浏览器地址栏中的域与网站和U2F设备之间数据传输中使用的域不匹配,则通信将失败。

5.定期对用户进行攻击模拟渗透测试,作为企业安全意识计划的一部分。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://baijiahao.baidu.com/s?id=1677787629830116890

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部