𝗧𝘄𝗼-𝗙𝗮𝗰𝘁𝗼𝗿 𝗔𝘂𝘁𝗵 𝗜𝘀𝗻'𝘁 𝗧𝗵𝗲 𝗦𝗵𝗶𝗲𝗹𝗱 𝗬𝗼𝘂 𝗧𝗵𝗶𝗻𝗸 𝗜𝘁 𝗜𝘀

మీరు టూ-ఫ్యాక్టర్ అథెంటికేషన్‌ను ఎనేబుల్ చేశారు. అది ఒక మంచి అడుగు.

చాలా సెక్యూరిటీ గైడ్‌లు ఒక విషయాన్ని విస్మరిస్తున్నాయి. గత మూడు సంవత్సరాలలో జరిగిన అతిపెద్ద ఖాతా దొంగతనాలు మీ కోడ్‌ను బ్రేక్ చేయడం ద్వారా జరగలేదు. దొంగలు మీ ద్వారానే ఆ కోడ్‌ను పొందేలా చేయడం లేదా ఆ దశను నిరుపయోగం చేసే మార్గాలను కనుగొన్నారు.

దొంగలు మీ 2FAని బైపాస్ చేసే మూడు ప్రధాన మార్గాలు ఇక్కడ ఉన్నాయి:

  1. MFA ఫ్యాటీగ్ (MFA Fatigue) దొంగలు దొంగిలించిన మీ యూజర్ నేమ్ మరియు పాస్‌వర్డ్‌ను ఉపయోగించి పుష్ నోటిఫికేషన్‌లను పంపిస్తారు. వారు రాత్రంతా డజన్ల కొద్దీ రిక్వెస్ట్‌లను పంపిస్తారు. చాలా మంది ఆ నోటిఫికేషన్ల శబ్దం ఆగిపోవడానికే "Approve" పై క్లిక్ చేస్తారు. ఇది దొంగలకు చెల్లుబాటు అయ్యే సెషన్‌ను అందిస్తుంది. 2022లో Uber కూడా దీనికి బలైంది.
  • పరిష్కారం: నంబర్ మ్యాచింగ్‌ను (number matching) ఎనేబుల్ చేయండి. మీ స్క్రీన్‌పై కనిపించే కోడ్‌ను మీరు మీ యాప్‌లో టైప్ చేయాలి. ఇది గుడ్డిగా అప్రూవ్ చేయడం (blind approvals) నిరోధిస్తుంది.
  1. అడ్వర్సరీ-ఇన్-ది-మిడిల్ (Adversary-in-the-Middle - AiTM) దొంగ ఒక నకిలీ లాగిన్ పేజీని సృష్టిస్తారు. మీరు లాగిన్ అయినప్పుడు, ఆ ప్రాక్సీ (proxy) మీ వివరాలను అసలు సైట్‌కు పంపిస్తుంది. అసలు సైట్ 2FA ఛాలెంజ్‌ను పంపిస్తుంది. ఆ ప్రాక్సీ ఆ ఛాలెంజ్‌ను మీకు అందిస్తుంది. మీరు మీ కోడ్‌ను ఎంటర్ చేస్తారు. అప్పుడు ఆ ప్రాక్సీ మీ సెషన్ కుక్కీని (session cookie) దొంగిలిస్తుంది. ఇప్పుడు ఆ దొంగ మీ ఖాతాను స్వాధీనం చేసుకుంటాడు.
  • పరిష్కారం: పాస్‌కీలు (passkeys) లేదా హార్డ్‌వేర్ సెక్యూరిటీ కీలను ఉపయోగించండి. ఇవి అసలు వెబ్‌సైట్ డొమైన్‌కు అనుసంధానించబడిన క్రిప్టోగ్రఫీని ఉపయోగిస్తాయి. ప్రాక్సీ వీటిని మోసం చేయలేదు.
  1. సిమ్ స్వాపింగ్ (SIM Swapping) దొంగ మీ మొబైల్ నెట్‌వర్క్ ప్రొవైడర్‌కు కాల్ చేస్తారు. వారు మీలా నటించి, మీ నంబర్‌ను తమ సిమ్ కార్డ్‌కు మార్చుకుంటారు. ఇప్పుడు, ప్రతి SMS కోడ్ వారికి వెళ్తుంది.
  • పరిష్కారం: ముఖ్యమైన పనుల కోసం SMS వాడటం ఆపివేయండి. Google Authenticator లేదా Authy వంటి ఆథెంటికేటర్ యాప్‌లను ఉపయోగించండి. ఇవి మీ పరికరంలోనే కోడ్‌లను జనరేట్ చేస్తాయి మరియు సిమ్ స్వాపింగ్ ద్వారా వీటిని దొంగిలించడం సాధ్యం కాదు.

సెక్యూరిటీ పద్ధతుల పోలిక:

• SMS OTP: కేవలం క్రెడెన్షియల్ స్టఫింగ్ (credential stuffing) ను మాత్రమే నిరోధిస్తుంది. • Authenticator App: క్రెడెన్షియల్ స్టఫింగ్ మరియు సిమ్ స్వాపింగ్‌లను నిరోధిస్తుంది. • Standard Push: క్రెడెన్షియల్ స్టఫింగ్ మరియు సిమ్ స్వాపింగ్‌లను నిరోధిస్తుంది. • Push with Number Matching: క్రెడెన్షియల్ స్టఫింగ్, పుష్ బాంబింగ్ (push bombing) మరియు సిమ్ స్వాపింగ్‌లను నిరోధిస్తుంది. • Hardware Key / Passkey: అన్నింటినీ నిరోధిస్తుంది.

ఫిషింగ్-రెసిస్టెంట్ (Phishing-resistant) MFA అనేది లక్ష్యం. హార్డ్‌వేర్ కీలు మరియు పాస్‌కీలు మీరు అసలు వెబ్‌సైట్‌లోనే ఉన్నారని నిరూపిస్తాయి. అక్కడ దొంగిలించడానికి కోడ్ ఉండదు.

మీ ఖాతాలను సురక్షితంగా ఉంచుకోవడానికి ఈ దశలను అనుసరించండి:

  • ఈ వారం: ఆర్థిక ఖాతాల నుండి SMS 2FAను తొలగించండి. ఆథెంటికేటర్ యాప్‌కు మారండి.
  • ఈ నెల: మీ పుష్ యాప్‌లలో నంబర్ మ్యాచింగ్‌ను ఎనేబుల్ చేయండి.
  • సిద్ధంగా ఉన్నప్పుడు: మీ ఈమెయిల్ మరియు పాస్‌వర్డ్ మేనేజర్ కోసం ఒక హార్డ్‌వేర్ కీని కొనుగోలు చేయండి.

2025 ముప్పుల కోసం 2019 నాటి సెక్యూరిటీని ఉపయోగించకండి.

నిజమైన బ్రీచ్ ఉదాహరణలతో పూర్తి విశ్లేషణ: https://lucas8.com/mfa-fatigue-attack-two-factor-bypass