Sie denken vielleicht, dass die Aktivierung der Zwei-Faktor-Authentifizierung für Ihr Konto es zu 100 % sicher macht. Die Zwei-Faktor-Authentifizierung^{(Two-factor authentication)} gehört zu den besten Methoden, um Ihr Konto zu schützen. Aber Sie werden vielleicht überrascht sein zu hören, dass Ihr Konto trotz aktivierter Zwei-Faktor-Authentifizierung gekapert werden kann. In diesem Artikel zeigen wir Ihnen die verschiedenen Möglichkeiten, wie Angreifer die Zwei-Faktor-Authentifizierung umgehen können.

Was ist Zwei-Faktor- Authentifizierung^{(Authentication)} (2FA)?

Bevor wir beginnen, sehen wir uns an, was 2FA ist. Sie wissen, dass Sie ein Passwort eingeben müssen, um sich bei Ihrem Konto anzumelden. Ohne das richtige Passwort können Sie sich nicht anmelden. 2FA ist der Vorgang, bei dem Ihrem Konto eine zusätzliche Sicherheitsebene hinzugefügt wird. Nach der Aktivierung können Sie sich nicht mehr bei Ihrem Konto anmelden, indem Sie nur das Passwort eingeben. Sie müssen einen weiteren Sicherheitsschritt ausführen. Das bedeutet bei 2FA, dass die Website den Benutzer in zwei Schritten verifiziert.

Lesen Sie^(Read) : So aktivieren Sie die Bestätigung in zwei Schritten im Microsoft-Konto^{(How to Enable 2-step Verification in Microsoft Account)} .

Wie funktioniert 2FA?

Lassen Sie uns das Funktionsprinzip der Zwei-Faktor-Authentifizierung verstehen. Die 2FA erfordert, dass Sie sich zweimal verifizieren. Wenn Sie Ihren Benutzernamen und Ihr Passwort eingeben, werden Sie auf eine andere Seite weitergeleitet, auf der Sie einen zweiten Nachweis erbringen müssen, dass Sie die echte Person sind, die versucht, sich anzumelden. Eine Website kann eine der folgenden Überprüfungsmethoden verwenden:

OTP (Einmalpasswort)

Nach Eingabe des Passworts fordert Sie die Website auf, sich zu verifizieren, indem Sie das OTP eingeben, das an Ihre registrierte Handynummer gesendet wird. Nachdem Sie das korrekte OTP eingegeben^(OTP) haben, können Sie sich bei Ihrem Konto anmelden.

Sofortige Benachrichtigung

Eine sofortige Benachrichtigung wird auf Ihrem Smartphone angezeigt, wenn es mit dem Internet verbunden ist. Sie müssen sich verifizieren, indem Sie auf die Schaltfläche „ Ja “ tippen. ^(Yes)Danach werden Sie auf Ihrem PC in Ihr Konto eingeloggt.

Backup-Codes

Sicherungscodes^(Backup) sind nützlich, wenn die beiden oben genannten Überprüfungsmethoden nicht funktionieren. Sie können sich bei Ihrem Konto anmelden, indem Sie einen der Sicherungscodes eingeben, die Sie von Ihrem Konto heruntergeladen haben.

Authentifizierungs-App

Bei dieser Methode müssen Sie Ihr Konto mit einer Authentifizierungs-App verbinden. Wann immer Sie sich bei Ihrem Konto anmelden möchten, müssen Sie den Code eingeben, der in der auf Ihrem Smartphone installierten Authentifizierungs-App angezeigt wird.

Es gibt mehrere weitere Überprüfungsmethoden, die eine Website verwenden kann.

Lesen Sie^(Read) : So fügen Sie Ihrem Google-Konto eine Bestätigung in zwei Schritten hinzu^{(How To Add Two-step Verification To Your Google Account)} .

Wie Hacker die Zwei-Faktor-Authentifizierung umgehen können^{(Two-factor Authentication)}

Zweifellos macht 2FA Ihr Konto sicherer. Aber es gibt immer noch viele Möglichkeiten, wie Hacker diese Sicherheitsschicht umgehen können.

1] Cookie-Diebstahl^{(Cookie Stealing)} oder Session-Hijacking

Cookie-Diebstahl oder Session-Hijacking^{(Cookie stealing or session hijacking)} ist die Methode, um das Session-Cookie des Benutzers zu stehlen. Sobald es dem Hacker gelingt, das Session-Cookie zu stehlen, kann er die Zwei-Faktor-Authentifizierung leicht umgehen. Angreifer kennen viele Hijacking-Methoden, wie Sitzungsfixierung, Sitzungs-Sniffing, Cross-Site-Scripting, Malware-Angriffe usw. Evilginx gehört zu den beliebten Frameworks, die Hacker verwenden, um einen Man-in-the-Middle-Angriff durchzuführen. Bei dieser Methode sendet der Hacker einen Phishing-Link an den Benutzer, der ihn zu einer Proxy-Anmeldeseite führt. Wenn sich der Benutzer mit 2FA bei seinem Konto anmeldet, erfasst Evilginx seine Anmeldeinformationen zusammen mit dem Authentifizierungscode. Da das OTPnach der Verwendung verfällt und auch für einen bestimmten Zeitraum gültig ist, macht es keinen Sinn, den Authentifizierungscode zu erfassen. Aber der Hacker hat die Sitzungscookies des Benutzers, mit denen er sich in sein Konto einloggen und die Zwei-Faktor-Authentifizierung umgehen kann.

2] Doppelte Codegenerierung

Wenn Sie die Google Authenticator- App verwendet haben, wissen Sie, dass sie nach einer bestimmten Zeit neue Codes generiert. Google Authenticator und andere Authenticator-Apps arbeiten mit einem bestimmten Algorithmus. Zufallscodegeneratoren^(Random) beginnen im Allgemeinen mit einem Startwert, um die erste Zahl zu generieren. Der Algorithmus verwendet dann diesen ersten Wert, um die verbleibenden Codewerte zu generieren. Wenn der Hacker diesen Algorithmus versteht, kann er leicht einen doppelten Code erstellen und sich in das Konto des Benutzers einloggen.

3] Brutale Gewalt

Brute Force ist eine Technik, um alle möglichen Passwortkombinationen zu generieren. Die Zeit, um ein Passwort mit Brute Force zu knacken, hängt von seiner Länge ab. Je länger das Passwort ist, desto länger dauert es, es zu knacken. Im Allgemeinen sind die Authentifizierungscodes 4 bis 6 Ziffern lang, Hacker können einen Brute-Force-Versuch versuchen, um die 2FA zu umgehen. Aber heute ist die Erfolgsquote von Brute-Force-Angriffen geringer. Dies liegt daran, dass der Authentifizierungscode nur für kurze Zeit gültig ist.

4] Sozialtechnik

Social Engineering ist die Technik, bei der ein Angreifer versucht, den Verstand des Benutzers auszutricksen und ihn dazu zwingt, seine Anmeldeinformationen auf einer gefälschten Anmeldeseite einzugeben. Egal ob der Angreifer Ihren Benutzernamen und Ihr Passwort kennt oder nicht, er kann die Zwei-Faktor-Authentifizierung umgehen. Wie? Mal sehen:

Betrachten wir den ersten Fall, in dem der Angreifer Ihren Benutzernamen und Ihr Passwort kennt. Er kann sich nicht bei Ihrem Konto anmelden, weil Sie 2FA aktiviert haben. Um den Code zu erhalten, kann er Ihnen eine E-Mail mit einem schädlichen Link senden, wodurch Sie befürchten, dass Ihr Konto gehackt werden könnte, wenn Sie nicht sofort handeln. Wenn Sie auf diesen Link klicken, werden Sie auf die Seite des Hackers weitergeleitet, die die Authentizität der ursprünglichen Webseite nachahmt. Sobald Sie den Passcode eingeben, wird Ihr Konto gehackt.

Nehmen wir nun einen anderen Fall, in dem der Hacker Ihren Benutzernamen und Ihr Passwort nicht kennt. Auch^(Again) in diesem Fall sendet er Ihnen einen Phishing-Link und stiehlt Ihren Benutzernamen und Ihr Passwort zusammen mit dem 2FA-Code.

5] OAuth

Die OAuth^(OAuth) -Integration bietet Benutzern die Möglichkeit, sich mit einem Drittanbieterkonto bei ihrem Konto anzumelden. Es handelt sich um eine renommierte Webanwendung, die Autorisierungstoken verwendet, um die Identität zwischen Benutzern und Dienstanbietern nachzuweisen. Sie können OAuth als alternative Methode zur Anmeldung bei Ihren Konten betrachten.

Ein OAuth- Mechanismus funktioniert folgendermaßen:

1. Site A fordert Site B (z. B. Facebook ) nach einem Authentifizierungstoken an.
2. Site B geht davon aus, dass die Anfrage vom Benutzer generiert wurde, und verifiziert das Konto des Benutzers.
3. Standort B^{(Site B)} sendet dann einen Rückrufcode und lässt den Angreifer sich anmelden.

In den oben genannten Prozessen haben wir gesehen, dass der Angreifer sich nicht über 2FA verifizieren muss. Aber damit dieser Umgehungsmechanismus funktioniert, sollte der Hacker den Benutzernamen und das Passwort des Benutzerkontos kennen.

So können Hacker die Zwei-Faktor-Authentifizierung eines Benutzerkontos umgehen.

Wie verhindert man das 2FA-Bypassing?

Hacker können zwar die Zwei-Faktor-Authentifizierung umgehen, benötigen aber bei jeder Methode die Zustimmung der Nutzer, die sie durch Austricksen einholen. Ohne die Benutzer auszutricksen, ist die Umgehung von 2FA nicht möglich. Daher^(Hence) sollten Sie auf folgende Punkte achten:

• Bevor Sie auf einen Link klicken, überprüfen Sie bitte dessen Echtheit. Sie können dies tun, indem Sie die E-Mail-Adresse des Absenders überprüfen.
• Erstellen Sie ein sicheres Passwort^{(Create a strong password)} , das eine Kombination aus Buchstaben, Zahlen und Sonderzeichen enthält.
• Verwenden Sie^(Use) nur echte Authentifizierungs-Apps wie Google Authenticator, Microsoft Authenticator usw.
• Laden Sie die Sicherungscodes herunter^(Download) und speichern Sie sie an einem sicheren Ort.
• Vertrauen Sie niemals Phishing-E-Mails, mit denen Hacker die Gedanken der Benutzer austricksen.
• Teilen Sie Sicherheitscodes mit niemandem.
• Richten^(Setup) Sie den Sicherheitsschlüssel in Ihrem Konto ein, eine Alternative zu 2FA.
• Ändern Sie Ihr Passwort regelmäßig.

Lesen Sie^(Read) : Tipps, um Hacker von Ihrem Windows-Computer fernzuhalten^{(Tips to Keep Hackers out of your Windows computer)} .

Fazit

Die Zwei-Faktor-Authentifizierung ist eine effektive Sicherheitsebene, die Ihr Konto vor Entführungen schützt. Hacker wollen immer die Möglichkeit haben, 2FA zu umgehen. Wenn Sie sich verschiedener Hacking-Mechanismen bewusst sind und Ihr Passwort regelmäßig ändern, können Sie Ihr Konto besser schützen.

How Hackers can get around Two-factor Authentication

You may think that enabling two-factor aυthenticatіon on your acсount mаkes it 100% secure. Two-factor authentication is among the best methods to protect your account. But you may be surprised to hear that your account can be hijacked despite enabling two-factor authentication. In this article, we will tell you the different ways by which attackers can bypass two-factor authentication.

What is Two-factor Authentication (2FA)?

Before we begin, let’s see what 2FA is. You know that you have to enter a password to log into your account. Without the correct password, you cannot log in. 2FA is the process of adding an extra security layer to your account. After enabling it, you cannot log into your account by entering the password only. You have to complete one more security step. This means in 2FA, the website verifies the user in two steps.

Read: How to Enable 2-step Verification in Microsoft Account.

How Does 2FA Work?

Let’s understand the working principle of two-factor authentication. The 2FA requires you to verify yourself two times. When you enter your username and password, you will be redirected to another page, where you have to provide a second proof that you are the real person trying to log in. A website can use any of the following verification methods:

OTP (One Time Password)

After entering the password, the website tells you to verify yourself by entering the OTP sent on your registered mobile number. After entering the correct OTP, you can log into your account.

Prompt Notification

Prompt notification is displayed on your smartphone if it is connected to the internet. You have to verify yourself by tapping on the “Yes” button. After that, you will be logged into your account on your PC.

Backup Codes

Backup codes are useful when the above two methods of verification won’t work. You can log into your account by entering any one of the backup codes you have downloaded from your account.

Authenticator App

In this method, you have to connect your account with an authenticator app. Whenever you want to log into your account, you have to enter the code displayed on the authenticator app installed on your smartphone.

There are several more methods of verification that a website can use.

Read: How To Add Two-step Verification To Your Google Account.

How Hackers can get around Two-factor Authentication

Undoubtedly, 2FA makes your account more secure. But there are still many ways by which hackers can bypass this security layer.

1] Cookie Stealing or Session Hijacking

Cookie stealing or session hijacking is the method of stealing the session cookie of the user. Once the hacker gets success in stealing the session cookie, he can easily bypass the two-factor authentication. Attackers know many methods of hijacking, like session fixation, session sniffing, cross-site scripting, malware attack, etc. Evilginx is among the popular frameworks that hackers use to perform a man-in-the-middle attack. In this method, the hacker sends a phishing link to the user that takes him to a proxy login page. When the user logs into his account using 2FA, Evilginx captures his login credentials along with the authentication code. Since the OTP expires after using it and also valid for a particular time frame, there is no use in capturing the authentication code. But the hacker has the user’s session cookies, which he can use to log into his account and bypass the two-factor authentication.

2] Duplicate Code Generation

If you have used the Google Authenticator app, you know that it generates new codes after a particular time. Google Authenticator and other authenticator apps work on a particular algorithm. Random code generators generally start with a seed value to generate the first number. The algorithm then uses this first value to generate the remaining code values. If the hacker is able to understand this algorithm, he can easily create a duplicate code and log into the user’s account.

3] Brute Force

Brute Force is a technique to generate all the possible password combinations. The time for cracking a password using brute force depends on its length. The longer the password is, the more time it takes to crack it. Generally, the authentication codes are from 4 to 6 digits long, hackers can try a brute force attempt to bypass the 2FA. But today, the success rate of brute force attacks is less. This is because the authentication code remains valid only for a short period.

4] Social Engineering

Social Engineering is the technique in which an attacker tries to trick the user’s mind and forces him to enter his login credentials on a fake login page. No matter whether the attacker knows your username and password or not, he can bypass the two-factor authentication. How? Let’s see:

Let’s consider the first case in which the attacker knows your username and password. He cannot log into your account because you have enabled 2FA. To get the code, he can send you an email with a malicious link, creating a fear in you that your account can be hacked if you do not take immediate action. When you click on that link, you will be redirected to the hacker’s page that mimics the authenticity of the original webpage. Once you enter the passcode, your account will be hacked.

Now, let’s take another case in which the hacker does not know your username and password. Again, in this case, he sends you a phishing link and steals your username and password along with the 2FA code.

5] OAuth

OAuth integration provides users with a facility to log into their account using a third-party account. It is a reputed web application that uses authorization tokens to prove identity between the users and service providers. You can consider OAuth an alternate way to log into your accounts.

An OAuth mechanism works in the following way:

1. Site A requests Site B (e.g. Facebook) for an authentication token.
2. Site B considers that the request is generated by the user and verifies the user’s account.
3. Site B then sends a callback code and lets the attacker sign in.

In the above processes, we have seen that the attacker does not require to verify himself via 2FA. But for this bypass mechanism to work, the hacker should have the user’s account username and password.

This is how hackers can bypass the two-factor authentication of a user’s account.

How to prevent 2FA bypassing?

Hackers can indeed bypass the two-factor authentication, but in each method, they need the users’ consent which they get by tricking them. Without tricking the users, bypassing 2FA is not possible. Hence, you should take care of the following points:

• Before clicking on any link, please check its authenticity. You can do this by checking the sender’s email address.
• Create a strong password that contains a combination of alphabets, numbers, and special characters.
• Use only genuine authenticator apps, like Google authenticator, Microsoft authenticator, etc.
• Download and save the backup codes at a safe place.
• Never trust phishing emails that hackers use to trick the users’ minds.
• Do not share security codes with anyone.
• Setup security key on your account, an alternative to 2FA.
• Keep changing your password regularly.

Read: Tips to Keep Hackers out of your Windows computer.

Conclusion

Two-factor authentication is an effective security layer that protects your account from hijacking. Hackers always want to get a chance to bypass 2FA. If you are aware of different hacking mechanisms and change your password regularly, you can protect your account better.

Related posts

• So aktivieren Sie die Zwei-Faktor-Authentifizierung in Discord

• So richten Sie Wiederherstellungs- und Sicherungsoptionen für die Zwei-Faktor-Authentifizierung richtig ein

• So installieren Sie Drupal mit WAMP unter Windows

• Beste Software & Hardware Bitcoin Wallets für Windows, iOS, Android

• Richten Sie Internet Radio Station kostenlos auf einem Windows-PC ein

• Beim Suchen nach Updates in VLC ist ein Fehler aufgetreten

• Die Sitzungs-Messaging-App bietet starke Sicherheit; Keine Telefonnummer erforderlich!

• Cyber ​​Monday & Black Friday Sale Einkaufstipps, denen Sie folgen möchten

• So löschen Sie Ihr LastPass-Konto

• So erstellen Sie selbstsignierte SSL-Zertifikate in Windows 11/10

• Whiteboard Fox ist ein kostenloses Online-Whiteboard, das die gemeinsame Nutzung in Echtzeit ermöglicht

• Beste kostenlose sichere Software für digitale Notizbücher und Online-Dienste

• Was ist ein Magnet-Link und wie öffnet man Magnet-Links in einem Browser?

• Bring Your Own Device (BYOD) Vorteile, Best Practices usw.

• Fix Partner stellte keine Verbindung zum Router-Fehler in TeamViewer unter Windows 10 her

• Die 10 besten USB-LED-Lampen für Laptops

• Dieses Konto ist mit keinem Mixer-Konto verknüpft

• Plex Server und Servereinstellungen gesperrt? Hier ist die Lösung!

• Die besten Laptoptische online kaufen

• Etikette für Videokonferenzen, Tipps und Regeln, die Sie befolgen müssen