Two Factor Auth Isn't The Shield You Think It Is

Translated for your language. Ler o original.

AI-assisted draft.

GyaanSetu Editorialhá 4 horas2min de leitura

Two Factor Auth Isn't The Shield You Think It Is

A Autenticação de Dois Fatores não é o escudo que você pensa que é

Você ativou a autenticação de dois fatores. Esse é um bom passo.

A maioria dos guias de segurança ignora um detalhe. Os maiores roubos de contas nos últimos três anos não quebraram o seu código. Os invasores encontraram maneiras de fazer você entregá-lo ou tornaram a etapa inútil.

Aqui estão as três principais maneiras pelas quais os invasores burlam o seu 2FA:

Fadiga de MFA (MFA Fatigue) Os invasores usam seu nome de usuário e senha roubados para disparar notificações push. Eles enviam dezenas de solicitações durante a noite. A maioria das pessoas clica em "Aprovar" apenas para fazer o barulho parar. Isso concede ao invasor uma sessão válida. A Uber foi vítima disso em 2022.

Solução: Ative a correspondência de números (number matching). Você deve digitar um código exibido na sua tela no seu aplicativo. Isso impede aprovações cegas.

Adversário no Meio (Adversary-in-the-Middle - AiTM) Um invasor configura uma página de login falsa. Quando você faz o login, o proxy envia seus dados para o site real. O site real envia um desafio de 2FA. O proxy retransmite esse desafio para você. Você insere seu código. O proxy rouba seu cookie de sessão. O invasor agora é dono da sua conta.

Solução: Use passkeys ou chaves de segurança de hardware. Elas utilizam criptografia vinculada ao domínio real do site. Um proxy não consegue enganá-las.

SIM Swapping Um invasor liga para sua operadora de celular. Eles fingem ser você e transferem seu número para o cartão SIM deles. Agora, todos os códigos de SMS vão para eles.

Solução: Pare de usar SMS para qualquer coisa importante. Use aplicativos de autenticação como Google Authenticator ou Authy. Eles geram códigos no seu dispositivo e não podem ser interceptados via SIM swap.

Comparação de Métodos de Segurança:

• SMS OTP: Impede apenas credential stuffing. • Aplicativo de Autenticação: Impede credential stuffing e SIM swaps. • Push Padrão: Impede credential stuffing e SIM swaps. • Push com Correspondência de Números: Impede credential stuffing, push bombing e SIM swaps. • Chave de Hardware / Passkey: Impede tudo.

O objetivo é um MFA resistente a phishing. Chaves de hardware e passkeys comprovam que você está no site real. Não há código para ser roubado.

Siga estes passos para proteger suas contas:

Esta semana: Remova o 2FA via SMS de contas financeiras. Mude para um aplicativo de autenticação.
Este mês: Ative a correspondência de números em seus aplicativos de push.
Quando estiver pronto: Compre uma chave de hardware para seu e-mail e gerenciador de senhas.

Não use segurança de 2019 para ameaças de 2025.

Análise completa com exemplos reais de violações: https://lucas8.com/mfa-fatigue-attack-two-factor-bypass

Two Factor Auth Isn't The Shield You Think It Is

Continuar lendo

Seu formulário de login é um risco de segurança

Pare de confiar no agente: vincule aprovações a chamadas de ferramentas exatas

Autenticar um webhook não é validá-lo

𝗣𝗮𝘀𝘀𝗸𝗲𝘆𝘀 𝗶𝗻 𝟮𝟬𝟮𝟲: 𝗔 𝗣𝗿𝗮𝗰𝘁𝗶𝗰𝗮𝗹 𝗘𝗻𝗴𝗶𝗻𝗲𝗲𝗿𝗶𝗻𝗴 𝗚𝘂𝗶𝗱𝗲

Your SaaS Is Leaking Money