Pengesahan Dua-Faktor Bukanlah Perisai Seperti Yang Anda Sangka

Anda telah mengaktifkan pengesahan dua-faktor. Itu adalah langkah yang baik.

Kebanyakan panduan keselamatan terlepas pandang satu perkara. Kecurian akaun terbesar dalam tempoh tiga tahun lalu tidak memecahkan kod anda. Penyerang mencari jalan untuk membuatkan anda menyerahkannya atau menjadikan langkah tersebut tidak berguna.

Berikut adalah tiga cara utama penyerang memintas 2FA anda:

  1. MFA Fatigue Penyerang menggunakan nama pengguna dan kata laluan anda yang dicuri untuk mencetuskan pemberitahuan push. Mereka menghantar berpuluh-puluh permintaan semalaman. Kebanyakan orang menekan "Approve" hanya untuk menghentikan gangguan tersebut. Ini memberikan penyerang sesi yang sah. Uber menjadi mangsa perkara ini pada tahun 2022.
  • Penyelesaian: Aktifkan number matching. Anda mesti menaip kod yang dipaparkan pada skrin anda ke dalam aplikasi anda. Ini menghalang kelulusan secara membuta tuli.
  1. Adversary-in-the-Middle (AiTM) Penyerang menyediakan halaman log masuk palsu. Apabila anda log masuk, proksi menghantar butiran anda ke laman web sebenar. Laman web sebenar menghantar cabaran 2FA. Proksi tersebut menyalurkan cabaran itu kepada anda. Anda memasukkan kod anda. Proksi tersebut mencuri kuki sesi anda. Penyerang kini memiliki akaun anda.
  • Penyelesaian: Gunakan passkeys atau hardware security keys. Ini menggunakan kriptografi yang terikat dengan domain laman web sebenar. Proksi tidak boleh memperdayakan mereka.
  1. SIM Swapping Penyerang menghubungi pembekal perkhidmatan mudah alih anda. Mereka menyamar sebagai anda dan memindahkan nombor anda ke kad SIM mereka. Kini, setiap kod SMS dihantar kepada mereka.
  • Penyelesaian: Berhenti menggunakan SMS untuk perkara penting. Gunakan aplikasi authenticator seperti Google Authenticator atau Authy. Aplikasi ini menjana kod pada peranti anda dan tidak boleh dipintas melalui SIM swap.

Perbandingan Kaedah Keselamatan:

• SMS OTP: Hanya menghalang credential stuffing. • Authenticator App: Menghalang credential stuffing dan SIM swaps. • Standard Push: Menghalang credential stuffing dan SIM swaps. • Push dengan Number Matching: Menghalang credential stuffing, push bombing, dan SIM swaps. • Hardware Key / Passkey: Menghalang segalanya.

MFA yang tahan phishing (phishing-resistant) adalah matlamatnya. Hardware keys dan passkeys membuktikan anda berada di laman web yang sebenar. Tiada kod untuk dicuri.

Ambil langkah-langkah ini untuk mengamankan akaun anda:

  • Minggu ini: Buang SMS 2FA daripada akaun kewangan. Tukar kepada aplikasi authenticator.
  • Bulan ini: Aktifkan number matching pada aplikasi push anda.
  • Apabila bersedia: Beli hardware key untuk e-mel dan pengurus kata laluan anda.

Jangan gunakan keselamatan tahun 2019 untuk ancaman tahun 2025.

Pecahan penuh dengan contoh pelanggaran sebenar: https://lucas8.com/mfa-fatigue-attack-two-factor-bypass