Two-Factor Authentication (2FA) Broken

09 de abril de 2016 08:00 GMT   ·   por Catalin Cimpanu

2FA, ou autenticação de dois fatores, é considerado ao lado de biometria como uma das mais fortes métodos de protecção de dados do usuário online.Um novo ataque planejado por dois pesquisadores de uma universidade em Amesterdão mostra que existem pontos fracos neste esquema de autenticação que os usuários abrirem para atacar.

Os dois, Radhesh Krishnan Konoth e Victor van der Mesmo, disse que já descobriu a falha de volta em 2014, alertou o Google e outros serviços on-line, e até apresentaram suas conclusões a uma série de bancos, mas sem sucesso.

Como os pesquisadores explicaram, porque eles não têm ido a público até agora, muitos disseram que a vulnerabilidade não era perigoso o suficiente para justificar a atenção. Os dois pensam de forma diferente.

App sincronização entre os dispositivos é o calcanhar de Aquiles da 2FA

Como eles explicam, o ataque não aproveitar uma falha de software, mas um problema de design com 2FA. Por causa de um conceito chamado “em qualquer lugar computing”, que refere-se à capacidade de sincronizar aplicativos e conteúdo através de dispositivos, 2FA pode ser derrotado se um atacante ganha acesso ao PC da vítima.

A partir daqui, falhas de projeto no mecanismo 2FA de vários serviços permite que os criminosos para usar serviços como o iTunes ou na Google Play Store para empurrar aplicativos maliciosos para o telefone de um usuário sem acionar o sistema de autenticação 2FA ou mesmo mostrar um ícone em sua tela inicial.

Claro, o atacante também deve passar por malwares passado Google e Apple e tê-lo listado em suas lojas, mas esta foi recentemente começou a tornar-se um comumocorrência .

Mas ainda assim, isso também requer para os atacantes têm acesso completo ao seu PC, seja fisicamente, ou através de malware que está controlando o dispositivo, ou tenha roubado suas credenciais para que os atacantes de usar.

App sincronização entre os dispositivos não é uma má ideia, apenas mal aplicada

No entanto, o risco ainda existe, e os pesquisadores afirmam que os serviços usando 2FA deve ser muito cauteloso de implementar a sincronização app entre diferentes dispositivos.

Perguntado sobre como eles vêem serviços 2FA corrigir esse problema e, especialmente, com o Google, onde o regime é utilizado, os pesquisadores disseram que a melhor decisão é “mover o processo de instalação do aplicativo (onde o usuário é solicitado a aceitar as permissões do aplicativo) para o dispositivo móvel em vez de lidar com ele no navegador “.

Para mais detalhes, você pode conferir o vídeo abaixo, o BAndroid website e vejam o papel dos pesquisadores chamada Como em qualquer lugar Computing acabou de matar seu telefone baseado autenticação de dois fatores .

Autentificação de 2 fatores
http://fc16.ifca.ai/preproceedings/24_Konoth.pdf