Vous pensez peut-être que l'activation de l'authentification à deux facteurs sur votre compte le rend 100 % sécurisé. L'authentification à deux facteurs^{(Two-factor authentication)} est l'une des meilleures méthodes pour protéger votre compte. Mais vous pourriez être surpris d'apprendre que votre compte peut être piraté malgré l'activation de l'authentification à deux facteurs. Dans cet article, nous vous expliquerons les différentes manières par lesquelles les attaquants peuvent contourner l'authentification à deux facteurs.

Qu'est-ce que l' authentification^{(Authentication)} à deux facteurs (2FA) ?

Avant de commencer, voyons ce qu'est 2FA. Vous savez que vous devez entrer un mot de passe pour vous connecter à votre compte. Sans le mot de passe correct, vous ne pouvez pas vous connecter. 2FA est le processus d'ajout d'une couche de sécurité supplémentaire à votre compte. Après l'avoir activé, vous ne pouvez pas vous connecter à votre compte en saisissant uniquement le mot de passe. Vous devez effectuer une étape de sécurité supplémentaire. Cela signifie qu'en 2FA, le site Web vérifie l'utilisateur en deux étapes.

Lisez^(Read) : Comment activer la vérification en 2 étapes dans un compte Microsoft^{(How to Enable 2-step Verification in Microsoft Account)} .

Comment fonctionne 2FA ?

Comprenons le principe de fonctionnement de l'authentification à deux facteurs. Le 2FA vous oblige à vous vérifier deux fois. Lorsque vous entrez votre nom d'utilisateur et votre mot de passe, vous serez redirigé vers une autre page, où vous devrez fournir une deuxième preuve que vous êtes la personne réelle qui tente de se connecter. Un site Web peut utiliser l'une des méthodes de vérification suivantes :

OTP (mot de passe à usage unique)

Après avoir entré le mot de passe, le site Web vous demande de vous vérifier en entrant l' OTP envoyé sur votre numéro de téléphone mobile enregistré. Après avoir entré le bon OTP , vous pouvez vous connecter à votre compte.

Notification rapide

Une notification rapide s'affiche sur votre smartphone s'il est connecté à Internet. Vous devez vous vérifier en appuyant sur le bouton « Oui ». ^(Yes)Après cela, vous serez connecté à votre compte sur votre PC.

Codes de sauvegarde

Les codes de secours^(Backup) sont utiles lorsque les deux méthodes de vérification ci-dessus ne fonctionnent pas. Vous pouvez vous connecter à votre compte en entrant l'un des codes de sauvegarde que vous avez téléchargés depuis votre compte.

Application d'authentification

Dans cette méthode, vous devez connecter votre compte à une application d'authentification. Chaque fois que vous souhaitez vous connecter à votre compte, vous devez saisir le code affiché sur l'application d'authentification installée sur votre smartphone.

Il existe plusieurs autres méthodes de vérification qu'un site Web peut utiliser.

Lisez^(Read) : Comment ajouter une vérification en deux étapes à votre compte Google^{(How To Add Two-step Verification To Your Google Account)} .

Comment les pirates peuvent contourner l'authentification à deux facteurs^{(Two-factor Authentication)}

Sans aucun doute, 2FA rend votre compte plus sécurisé. Mais il existe encore de nombreuses façons pour les pirates de contourner cette couche de sécurité.

1] Vol de cookies^{(Cookie Stealing)} ou détournement de session^{(Session Hijacking)}

Le vol de cookies ou le détournement de session^{(Cookie stealing or session hijacking)} est la méthode de vol du cookie de session de l'utilisateur. Une fois que le pirate a réussi à voler le cookie de session, il peut facilement contourner l'authentification à deux facteurs. Les attaquants connaissent de nombreuses méthodes de piratage, comme la fixation de session, le reniflage de session, les scripts intersites, les attaques de logiciels malveillants, etc. Evilginx fait partie des frameworks populaires que les pirates utilisent pour effectuer une attaque de l'homme du milieu. Dans cette méthode, le pirate envoie un lien de phishing à l'utilisateur qui l'amène à une page de connexion proxy. Lorsque l'utilisateur se connecte à son compte à l'aide de 2FA, Evilginx capture ses identifiants de connexion avec le code d'authentification. Depuis le Bureau du Procureur^(OTP)expire après l'avoir utilisé et est également valable pour une période donnée, il est inutile de capturer le code d'authentification. Mais le pirate dispose des cookies de session de l'utilisateur, qu'il peut utiliser pour se connecter à son compte et contourner l'authentification à deux facteurs.

2] Génération de code en double

Si vous avez utilisé l' application Google Authenticator , vous savez qu'elle génère de nouveaux codes après un certain temps. Google Authenticator et d'autres applications d'authentification fonctionnent sur un algorithme particulier. Les générateurs de code aléatoire^(Random) commencent généralement par une valeur de départ pour générer le premier nombre. L'algorithme utilise ensuite cette première valeur pour générer les valeurs de code restantes. Si le pirate est capable de comprendre cet algorithme, il peut facilement créer un code en double et se connecter au compte de l'utilisateur.

3] Force brute

Brute Force est une technique pour générer toutes les combinaisons de mots de passe possibles. Le temps nécessaire pour casser un mot de passe en utilisant la force brute dépend de sa longueur. Plus le mot de passe est long, plus il faut de temps pour le déchiffrer. Généralement, les codes d'authentification comportent de 4 à 6 chiffres, les pirates peuvent tenter une tentative de force brute pour contourner le 2FA. Mais aujourd'hui, le taux de réussite des attaques par force brute est moindre. En effet, le code d'authentification ne reste valide que pendant une courte période.

4] Ingénierie sociale

L'ingénierie sociale est la technique par laquelle un attaquant tente de tromper l'esprit de l'utilisateur et l'oblige à saisir ses identifiants de connexion sur une fausse page de connexion. Que l'attaquant connaisse ou non votre nom d'utilisateur et votre mot de passe, il peut contourner l'authentification à deux facteurs. Comment? Voyons voir:

Considérons le premier cas dans lequel l'attaquant connaît votre nom d'utilisateur et votre mot de passe. Il ne peut pas se connecter à votre compte car vous avez activé 2FA. Pour obtenir le code, il peut vous envoyer un e-mail avec un lien malveillant, faisant craindre en vous que votre compte puisse être piraté si vous n'agissez pas immédiatement. Lorsque vous cliquez sur ce lien, vous serez redirigé vers la page du pirate qui imite l'authenticité de la page Web d'origine. Une fois que vous avez entré le mot de passe, votre compte sera piraté.

Maintenant, prenons un autre cas dans lequel le pirate ne connaît pas votre nom d'utilisateur et votre mot de passe. Encore une fois^(Again) , dans ce cas, il vous envoie un lien de phishing et vole votre nom d'utilisateur et votre mot de passe ainsi que le code 2FA.

5] OAuth

L'intégration OAuth^(OAuth) permet aux utilisateurs de se connecter à leur compte à l'aide d'un compte tiers. Il s'agit d'une application Web réputée qui utilise des jetons d'autorisation pour prouver l'identité entre les utilisateurs et les fournisseurs de services. Vous pouvez considérer OAuth comme un autre moyen de vous connecter à vos comptes.

Un mécanisme OAuth fonctionne de la manière suivante :^(OAuth)

1. Le site A demande au site B^{(Site B)} (par exemple Facebook ) un jeton d'authentification.
2. Le site B^{(Site B)} considère que la requête est générée par l'utilisateur et vérifie le compte de l'utilisateur.
3. Le site B^{(Site B)} envoie alors un code de rappel et permet à l'attaquant de se connecter.

Dans les processus ci-dessus, nous avons vu que l'attaquant n'a pas besoin de se vérifier via 2FA. Mais pour que ce mécanisme de contournement fonctionne, le pirate doit disposer du nom d'utilisateur et du mot de passe du compte de l'utilisateur.

C'est ainsi que les pirates peuvent contourner l'authentification à deux facteurs du compte d'un utilisateur.

Comment empêcher le contournement de 2FA ?

Les pirates peuvent en effet contourner l'authentification à deux facteurs, mais dans chaque méthode, ils ont besoin du consentement des utilisateurs qu'ils obtiennent en les trompant. Sans tromper les utilisateurs, contourner 2FA n'est pas possible. Par conséquent^(Hence) , vous devez prendre soin des points suivants :

• Avant de cliquer sur un lien, veuillez vérifier son authenticité. Vous pouvez le faire en vérifiant l'adresse e-mail de l'expéditeur.
• Créez un mot de passe fort^{(Create a strong password)} qui contient une combinaison d'alphabets, de chiffres et de caractères spéciaux.
• Utilisez^(Use) uniquement des applications d'authentification authentiques, telles que l' authentificateur Google , l'authentificateur ^(Google)Microsoft , etc.
• Téléchargez^(Download) et enregistrez les codes de sauvegarde dans un endroit sûr.
• Ne faites jamais confiance aux e-mails de phishing que les pirates utilisent pour tromper l'esprit des utilisateurs.
• Ne partagez les codes de sécurité avec personne.
• Configurez^(Setup) la clé de sécurité sur votre compte, une alternative à 2FA.
• Continuez à changer votre mot de passe régulièrement.

Lire^(Read) : Conseils pour empêcher les pirates d'accéder à votre ordinateur Windows^{(Tips to Keep Hackers out of your Windows computer)} .

Conclusion

L'authentification à deux facteurs est une couche de sécurité efficace qui protège votre compte contre le piratage. Les pirates veulent toujours avoir une chance de contourner 2FA. Si vous connaissez différents mécanismes de piratage et changez régulièrement votre mot de passe, vous pouvez mieux protéger votre compte.

How Hackers can get around Two-factor Authentication

You may thіnk thаt enabling two-factor authentication on your account makes it 100% secure. Two-factor authentication is among the best methods to protect your account. But you may be surprised to hear that your account can be hijacked despite enabling two-factor authentication. In this article, we will tell you the different ways by which attackers can bypass two-factor authentication.

What is Two-factor Authentication (2FA)?

Before we begin, let’s see what 2FA is. You know that you have to enter a password to log into your account. Without the correct password, you cannot log in. 2FA is the process of adding an extra security layer to your account. After enabling it, you cannot log into your account by entering the password only. You have to complete one more security step. This means in 2FA, the website verifies the user in two steps.

Read: How to Enable 2-step Verification in Microsoft Account.

How Does 2FA Work?

Let’s understand the working principle of two-factor authentication. The 2FA requires you to verify yourself two times. When you enter your username and password, you will be redirected to another page, where you have to provide a second proof that you are the real person trying to log in. A website can use any of the following verification methods:

OTP (One Time Password)

After entering the password, the website tells you to verify yourself by entering the OTP sent on your registered mobile number. After entering the correct OTP, you can log into your account.

Prompt Notification

Prompt notification is displayed on your smartphone if it is connected to the internet. You have to verify yourself by tapping on the “Yes” button. After that, you will be logged into your account on your PC.

Backup Codes

Backup codes are useful when the above two methods of verification won’t work. You can log into your account by entering any one of the backup codes you have downloaded from your account.

Authenticator App

In this method, you have to connect your account with an authenticator app. Whenever you want to log into your account, you have to enter the code displayed on the authenticator app installed on your smartphone.

There are several more methods of verification that a website can use.

Read: How To Add Two-step Verification To Your Google Account.

How Hackers can get around Two-factor Authentication

Undoubtedly, 2FA makes your account more secure. But there are still many ways by which hackers can bypass this security layer.

1] Cookie Stealing or Session Hijacking

Cookie stealing or session hijacking is the method of stealing the session cookie of the user. Once the hacker gets success in stealing the session cookie, he can easily bypass the two-factor authentication. Attackers know many methods of hijacking, like session fixation, session sniffing, cross-site scripting, malware attack, etc. Evilginx is among the popular frameworks that hackers use to perform a man-in-the-middle attack. In this method, the hacker sends a phishing link to the user that takes him to a proxy login page. When the user logs into his account using 2FA, Evilginx captures his login credentials along with the authentication code. Since the OTP expires after using it and also valid for a particular time frame, there is no use in capturing the authentication code. But the hacker has the user’s session cookies, which he can use to log into his account and bypass the two-factor authentication.

2] Duplicate Code Generation

If you have used the Google Authenticator app, you know that it generates new codes after a particular time. Google Authenticator and other authenticator apps work on a particular algorithm. Random code generators generally start with a seed value to generate the first number. The algorithm then uses this first value to generate the remaining code values. If the hacker is able to understand this algorithm, he can easily create a duplicate code and log into the user’s account.

3] Brute Force

Brute Force is a technique to generate all the possible password combinations. The time for cracking a password using brute force depends on its length. The longer the password is, the more time it takes to crack it. Generally, the authentication codes are from 4 to 6 digits long, hackers can try a brute force attempt to bypass the 2FA. But today, the success rate of brute force attacks is less. This is because the authentication code remains valid only for a short period.

4] Social Engineering

Social Engineering is the technique in which an attacker tries to trick the user’s mind and forces him to enter his login credentials on a fake login page. No matter whether the attacker knows your username and password or not, he can bypass the two-factor authentication. How? Let’s see:

Let’s consider the first case in which the attacker knows your username and password. He cannot log into your account because you have enabled 2FA. To get the code, he can send you an email with a malicious link, creating a fear in you that your account can be hacked if you do not take immediate action. When you click on that link, you will be redirected to the hacker’s page that mimics the authenticity of the original webpage. Once you enter the passcode, your account will be hacked.

Now, let’s take another case in which the hacker does not know your username and password. Again, in this case, he sends you a phishing link and steals your username and password along with the 2FA code.

5] OAuth

OAuth integration provides users with a facility to log into their account using a third-party account. It is a reputed web application that uses authorization tokens to prove identity between the users and service providers. You can consider OAuth an alternate way to log into your accounts.

An OAuth mechanism works in the following way:

1. Site A requests Site B (e.g. Facebook) for an authentication token.
2. Site B considers that the request is generated by the user and verifies the user’s account.
3. Site B then sends a callback code and lets the attacker sign in.

In the above processes, we have seen that the attacker does not require to verify himself via 2FA. But for this bypass mechanism to work, the hacker should have the user’s account username and password.

This is how hackers can bypass the two-factor authentication of a user’s account.

How to prevent 2FA bypassing?

Hackers can indeed bypass the two-factor authentication, but in each method, they need the users’ consent which they get by tricking them. Without tricking the users, bypassing 2FA is not possible. Hence, you should take care of the following points:

• Before clicking on any link, please check its authenticity. You can do this by checking the sender’s email address.
• Create a strong password that contains a combination of alphabets, numbers, and special characters.
• Use only genuine authenticator apps, like Google authenticator, Microsoft authenticator, etc.
• Download and save the backup codes at a safe place.
• Never trust phishing emails that hackers use to trick the users’ minds.
• Do not share security codes with anyone.
• Setup security key on your account, an alternative to 2FA.
• Keep changing your password regularly.

Read: Tips to Keep Hackers out of your Windows computer.

Conclusion

Two-factor authentication is an effective security layer that protects your account from hijacking. Hackers always want to get a chance to bypass 2FA. If you are aware of different hacking mechanisms and change your password regularly, you can protect your account better.

Related posts

• Comment activer Two-Factor Authentication dans Discord

• Comment configurer correctement les options de récupération et de sauvegarde pour l'authentification à deux facteurs

• Comment installer Drupal en utilisant WAMP sur Windows

• Best Software & Hardware Bitcoin Wallets pour Windows, iOS, Android

• Setup Internet Radio Station gratuit sur Windows PC

• OpenGL Les applications ne fonctionnent pas sur Miracast wireless dans Windows 10

• Disqus comment Boîte à ne pas charger ou afficher un site Web

• Comment faire du mot de passe et sécuriser les documents PDf avec LibreOffice

• Ce qui est Silly Window Syndrome - Explanation and Prevention

• Qu'est-ce que Big Data - une explication simple avec Example

• Différence entre Analog, Digital and Hybrid computers

• étiquette conferencing Video, des conseils et des règles que vous devez suivre

• Meilleurs outils pour envoyer SMS gratuitement à partir de votre ordinateur

• Whiteboard Fox est un online whiteboard gratuit qui permet real-time sharing

• Comment faire du tout Encrypt et ajouter des mots de passe aux documents LibreOffice

• L'application de messagerie de session offre une sécurité solide; No phone Numéro requis!

• Microsoft Identity Manager: Caractéristiques, Download

• Comment installer Windows 95 sur Windows 10

• Fix Partner n'a pas connecté à l'erreur de routeur dans TeamViewer sur Windows 10

• Quelles sont les cartes 'Chip et PIN' ou EMV Credit