İnstagram İki Faktörlü Kimlik Doğrulama Kırma (Yöntemleri)

İnstagram İki Faktörlü Kimlik Doğrulama Kırma işlemi nasıl yapılır; Bugün sizlere bu yazımızda İnstagram İki Faktörlü Kimlik Doğrulama Kırma yöntemlerinden bahsettik.

Saldırganların iki faktörlü kimlik doğrulamasını kırma yöntemlerini aşağıda listeledik.

İki faktörlü kimlik doğrulamayı (2FA) uyguladığınızda, tüm çalışanlarınızın güvende olduğunu düşünebilirsiniz. 2FA, kullanıcı kimlik bilgilerinin üzerine ek bir güvenlik katmanı eklemenin en iyi yollarından biri olsa da, yine de kırılması mümkündür. Bunu atlamanın ne kadar kolay olabileceğini size göstereceğiz. Daha geçen sonbaharda FBI, halkı kuruluşlara ve çalışanlarına yönelik artan tehdit ve 2FA’yı baypas etmek için sosyal mühendislik tekniklerinin ne kadar yaygın kullanıldığı konusunda uyardı.

İki faktörlü kimlik doğrulama nedir?

İkinci bir kimlik doğrulama biçimi olarak bir hesapta oturum açarken, kullanıcının parolasının üstünde iki faktörlü kimlik doğrulama kullanılır. İkinci kimlik doğrulama katmanı, bir metin mesajı, kimlik doğrulama uygulamaları aracılığıyla sağlanan bir kod olabilir veya bir parmak izi veya yüz tanımadan oluşabilir. İki faktörlü kimlik doğrulama, çok faktörlü kimlik doğrulamanın bir alt kümesidir. Çok faktörlü kimlik doğrulama durumunda, kullanıcının kendisini ikiden fazla farklı şekilde tanımlaması gerekir.

İnstagram İki Faktörlü Kimlik Doğrulama Kırma (Yöntemleri)

Bilgisayar korsanları, iki faktörlü kimlik doğrulamayı atlamak için sosyal mühendislik tekniklerini nasıl kullanıyor?

Kuruluşlar, iki faktörlü kimlik doğrulamayı erişim için güvenli bir tanımlama yolu olarak görse de, 2FA’yı atlamak için oldukça basit teknikler vardır. Çoğu durumda, saldırganların zaten kullanıcının parolasına sahip olduğunu varsayıyoruz.

1. Geleneksel oturum yönetimi ile 2FA’yı atlamak

Bu durumda, saldırganlar parola sıfırlama işlevini kullanırlar çünkü genellikle bir parola sıfırlamadan sonra sistemin oturum açma sayfasında 2FA uygulanmaz. Pratikte nasıl çalışır?

1. Saldırgan ‘şifreyi değiştir’ bağlantısını tıklar.
2. Saldırgan, parola sıfırlama belirtecini ister.
3. Saldırgan, parola sıfırlama belirtecini kullanır.
4. Saldırgan web uygulamasında oturum açar.

Saldırganlar bu yöntemi kullanarak, sitenin veya platformun mimarisinin mümkün kıldığı belirli platformlarda iki faktörlü kimlik doğrulamayı atlayabilir.

2. OAuth kullanarak 2FA’yı atlamak

OAuth entegrasyonu , kullanıcıların bir üçüncü taraf hesabı kullanarak hesaplarına giriş yapmalarına olanak tanır. Bu, Facebook veya Gmail hesaplarınızla bir platformda oturum açmak için alternatif bir seçeneğiniz olacağı anlamına gelir. OAuth nasıl çalışır?

1. Site, üçüncü taraf siteden (ör. Facebook) bir kimlik doğrulama belirteci ister.
2. Facebook (veya başka bir üçüncü taraf sitesi) kullanıcı hesabını doğrular.
3. Facebook (veya başka bir üçüncü taraf sitesi) bir geri arama kodu gönderir.
4. Site, kullanıcının oturumunu açar.

Burada, örneğin, kullanıcının Facebook veya Gmail kullanıcı adı ve şifresine sahiplerse, saldırganların 2FA kullanmasına bile gerek yoktur.

3. Kaba kuvvet kullanarak 2FA’yı atlamak

İki faktörlü kimlik doğrulama kodunun uzunluğu dört ila altı karakter (genellikle sadece sayılar) olduğunda, saldırganların hesaba karşı kaba kuvvet kullanarak 2FA’yı atlamasını mümkün kılar.

4. Daha önce oluşturulmuş belirteçleri kullanarak 2FA’yı atlamak

Bazı platformlar, kullanıcıların 2FA’yı atlamak için daha sonra kullanılmak üzere belirli sayıda kod içeren bir belge gibi önceden belirteçler oluşturma olanağı sunar. Bir saldırgan belgeye erişirse, 2FA’yı atlamak için kolayca kullanabilir, kullanıcının şifresine de sahip olduklarını varsayarsak.

5. Sosyal mühendislik kullanarak 2FA’yı atlamak

‍‍

Dava 1

Bu durumda da, saldırganın kullanıcının kullanıcı adını ve şifresini elinde tuttuğunu varsayıyoruz. 2FA kodunu elde etmek için saldırganlar, gönderilen doğrulama kodunu istemek için size uydurma bir bahane ile size bir e-posta gönderebilir. Numaran. Onlara kodu gönderdikten sonra, saldırgan 2FA’yı atlayabilecektir.

2. DURUM

Saldırganlar kullanıcı adınız ve şifreniz olmasa bile, bir bağlantıya tıklamanızı ve LinkedIn gibi gerçek bir web sitesini taklit eden bir kimlik avı web sitesine gitmenizi sağlayarak 2FA’yı atlayabilirler. E-posta, servis sağlayıcının kendisinden geliyormuş gibi görünür. Sahte sayfada oturum açma kimlik bilgilerinizi verdiğinizde, bilgisayar korsanı bunu gerçek web sitesinde oturum açmak için kullanabilir. Bu noktada bir kod alırsınız ve bu kodu sahte web sitesine girdiğinizde, bilgisayar korsanı da kodu alır. Daha sonra hesabınızı başarıyla ihlal edebilirler.

2FA kullanırken güvende kalın

Yukarıda ana hatlarıyla belirttiğimiz kusurlara rağmen, iki faktörlü kimlik doğrulama, hesaplarınızın güvenliğini sağlamanın hala harika bir yoludur. İki faktörlü kimlik doğrulamayı kullanırken nasıl güvende kalacağınıza ilişkin birkaç ipucunu burada bulabilirsiniz:

• Kısa mesaj kodları yerine mümkün olduğunda Google veya Microsoft Authenticator gibi kimlik doğrulama uygulamalarını kullanın.
• Güvenlik kodlarını asla kimseyle paylaşmayın.
• Mümkünse, 4 ila 6’dan fazla karakter içeren kodlar kullanın.
• Güvenliğinizden emin değilseniz, ne yapmanız gerektiği konusunda başka biriyle tekrar kontrol edin.
• Zor şifreler kullanın – bir şifre üreticisi ve bir şifre yöneticisi kullanın.
• Şifreleri asla tekrar kullanmayın.
• 2FA’da kullanılan alternatif bir kimlik doğrulama biçimi olarak bir güvenlik anahtarı kullanmayı düşünün.
• Güvenliğinizi önemseyin ve yaygın sosyal mühendislik taktiklerini anlayın. Çalışanlarınıza neyle karşı karşıya olduklarını bilmeleri için bilgi, beceri ve araçlar sağlayın.